Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Überblick über die Implementierung von ONTAP OAuth 2.0

Beitragende

Ab ONTAP 9.14 haben Sie die Möglichkeit, den Zugriff auf Ihre ONTAP-Cluster über das Open Authorization (OAuth 2.0)-Framework zu steuern. Sie können diese Funktion über jede der ONTAP-Administrationsschnittstellen konfigurieren, einschließlich der ONTAP-CLI, System Manager und REST-API. Die OAuth 2.0-Autorisierungs- und Zugriffskontrollentscheidungen können jedoch nur angewendet werden, wenn ein Client über die REST-API auf ONTAP zugreift.

Hinweis Die Unterstützung für OAuth 2.0 wurde erstmals mit ONTAP 9.14.0 eingeführt, sodass die Verfügbarkeit von der von Ihnen verwendeten ONTAP Version abhängt. "Versionshinweise zu ONTAP"Weitere Informationen finden Sie im.

Funktionen und Vorteile

Die wichtigsten Merkmale und Vorteile der Verwendung von OAuth 2.0 mit ONTAP sind im Folgenden beschrieben.

Unterstützung für den Standard OAuth 2.0

OAuth 2.0 ist das Standard-Autorisierungsframework der Branche. Sie wird verwendet, um den Zugriff auf geschützte Ressourcen mit signierten Zugriffstoken zu beschränken und zu steuern. Die Verwendung von OAuth 2.0 bietet mehrere Vorteile:

  • Viele Optionen für die Berechtigungskonfiguration

  • Geben Sie niemals die Client-Anmeldeinformationen einschließlich Passwörter bekannt

  • Token können basierend auf Ihrer Konfiguration auf „ablaufen lassen“ gesetzt werden

  • Ideal geeignet für den Einsatz mit REST-APIs

Getestet mit gängigen Autorisierungsservern

Die Implementierung von ONTAP OAuth 2.0 wurde mit mehreren gängigen Servern oder Services basierend auf der ONTAP-Version wie folgt getestet:

  • ONTAP 9.16.1 (Unterstützung für Gruppen-UUID für Namenszuordnungen und externe Rollen):

    • Microsoft Entra-ID

  • ONTAP 9.14.1 (Unterstützung für OAuth 2.0-Standardfunktionen)

    • Auth0

    • Active Directory Federation Service (ADFS)

    • Keycloak

Unter finden "Autorisierungsserver und Zugriffstoken" Sie weitere Informationen zu den Funktionen der einzelnen ONTAP Versionen.

Unterstützung für mehrere gleichzeitige Autorisierungsserver

Sie können bis zu acht Autorisierungsserver für einen einzelnen ONTAP-Cluster definieren. Dadurch erhalten Sie die Flexibilität, die Anforderungen Ihrer vielfältigen Sicherheitsumgebung zu erfüllen.

Integration in die REST-Rollen

Die ONTAP-Autorisierungsentscheidungen basieren letztlich auf den REST-Rollen, die Benutzern oder Gruppen zugewiesen sind. Diese Rollen werden entweder als eigenständige Bereiche im Zugriffstoken oder auf der Grundlage lokaler ONTAP-Definitionen zusammen mit Active Directory- oder LDAP-Gruppen übertragen.

Option zur Verwendung von Zugriffstoken mit Senderbeschränkungen

Sie können ONTAP und die Autorisierungsserver so konfigurieren, dass die gegenseitige Transportschicht-Sicherheit (MTLS) verwendet wird, wodurch die Clientauthentifizierung gestärkt wird. Sie garantiert, dass die OAuth 2.0-Zugriffstoken nur von den Clients verwendet werden, auf die sie ursprünglich ausgestellt wurden. Diese Funktion unterstützt und harmonisiert mit mehreren gängigen Sicherheitsempfehlungen, einschließlich der von FAPI und MITER festgelegten.

Implementierung und Konfiguration

Auf hoher Ebene gibt es mehrere Aspekte einer OAuth 2.0-Implementierung und -Konfiguration, die Sie bei der Inbetriebnahme berücksichtigen sollten.

OAuth 2.0 Einheiten innerhalb von ONTAP

Das OAuth 2.0-Autorisierungs-Framework definiert mehrere Einheiten, die realen oder virtuellen Elementen in Ihrem Rechenzentrum oder Netzwerk zugeordnet werden können. Die OAuth 2.0 Einheiten und ihre Anpassung an ONTAP sind in der folgenden Tabelle dargestellt.

OAuth 2.0-Einheit Beschreibung

Ressource

Die REST-API-Endpunkte, die über interne ONTAP-Befehle Zugriff auf die ONTAP-Ressourcen bieten.

Ressourceneigentümer

Der ONTAP-Cluster-Benutzer, der die geschützte Ressource erstellt hat oder der sie standardmäßig besitzt.

Ressourcenserver

Der Host für die geschützten Ressourcen, die der ONTAP-Cluster ist.

Client

Eine Applikation, die den Zugriff auf einen REST-API-Endpunkt im Namen oder mit Genehmigung des Ressourceneigentümers anfordert.

Autorisierungsserver

In der Regel ein dedizierter Server, der für die Ausgabe von Zugriffstoken und die Durchsetzung von Verwaltungsrichtlinien verantwortlich ist.

ONTAP-Kernkonfiguration

Sie müssen den ONTAP-Cluster konfigurieren, um OAuth 2.0 zu aktivieren und zu verwenden. Dazu gehört die Einrichtung einer Verbindung zum Autorisierungsserver und die Definition der erforderlichen ONTAP-Autorisierungskonfiguration. Sie können diese Konfiguration über eine der Administrationsschnittstellen durchführen, einschließlich:

  • ONTAP Befehlszeilenschnittstelle

  • System Manager

  • ONTAP REST API

Umwelt und unterstützende Dienstleistungen

Zusätzlich zu den ONTAP-Definitionen müssen Sie auch die Autorisierungsserver konfigurieren. Wenn Sie eine Gruppen-zu-Rollen-Zuordnung verwenden, müssen Sie auch die Active Directory-Gruppen oder das LDAP-Äquivalent konfigurieren.

Unterstützte ONTAP-Clients

Ab ONTAP 9.14 kann ein REST-API-Client über OAuth 2.0 auf ONTAP zugreifen. Bevor Sie einen REST-API-Aufruf ausgeben, müssen Sie ein Zugriffstoken vom Autorisierungsserver beziehen. Der Client leitet dieses Token dann über den Header der HTTP-Autorisierungsanforderung als Bearer-Token an den ONTAP-Cluster weiter. Je nach Sicherheitsstufe können Sie auch ein Zertifikat auf dem Client erstellen und installieren, um auf MTLS basierende Token mit Senderbeschränkungen zu verwenden.

Ausgewählte Terminologie

Wenn Sie sich mit einer OAuth 2.0-Bereitstellung mit ONTAP vertraut machen, ist es hilfreich, sich mit einigen Begriffen vertraut zu machen. Unter "Weitere Ressourcen" finden Sie Links zu weiteren Informationen über OAuth 2.0.

Access Token

Ein Token, das von einem Autorisierungsserver ausgegeben und von einer OAuth 2.0-Clientanwendung verwendet wird, um Anfragen für den Zugriff auf die geschützten Ressourcen zu stellen.

JSON-Webtoken

Der Standard, der zum Formatieren der Zugriffstoken verwendet wird. JSON wird verwendet, um die OAuth 2.0 Claims in einem kompakten Format darzustellen, wobei die Claims in drei Hauptabschnitten angeordnet sind.

Zugriffstoken, die durch den Absender eingeschränkt sind

Eine optionale Funktion, die auf dem Protokoll Mutual Transport Layer Security (MTLS) basiert. Durch die Verwendung eines zusätzlichen Bestätigungsanspruchs im Token wird sichergestellt, dass das Zugriffstoken nur von dem Client verwendet wird, auf den es ursprünglich ausgestellt wurde.

JSON-Webschlüsselsatz

Ein JWKS ist eine Sammlung öffentlicher Schlüssel, die von ONTAP zur Überprüfung der von den Clients präsentierten JWT-Token verwendet werden. Die Schlüsselsätze sind normalerweise über einen dedizierten URI am Autorisierungsserver verfügbar.

Umfang

Scopes bieten eine Möglichkeit, den Zugriff einer Applikation auf geschützte Ressourcen wie die REST-API von ONTAP zu beschränken oder zu steuern. Sie werden im Zugriffstoken als Strings dargestellt.

ONTAP-REST-Rolle

REST-Rollen wurden mit ONTAP 9.6 eingeführt und sind ein wichtiger Bestandteil des RBAC Framework von ONTAP. Diese Rollen unterscheiden sich von den früheren herkömmlichen Rollen, die immer noch von ONTAP unterstützt werden. Die OAuth 2.0-Implementierung in ONTAP unterstützt nur REST-Rollen.

HTTP-Autorisierungskopf

Eine Kopfzeile, die in der HTTP-Anforderung enthalten ist, um den Client und die zugehörigen Berechtigungen als Teil eines REST-API-Aufrufs zu identifizieren. Je nachdem, wie Authentifizierung und Autorisierung durchgeführt werden, stehen verschiedene Varianten oder Implementierungen zur Verfügung. Wenn ein OAuth 2.0-Zugriffstoken an ONTAP übergeben wird, wird das Token als Bearer Token identifiziert.

HTTP-Basisauthentifizierung

Eine frühe HTTP-Authentifizierungstechnik, die noch von ONTAP unterstützt wird. Die Klartext-Anmeldeinformationen (Benutzername und Passwort) werden mit einem Doppelpunkt verkettet und in base64 kodiert. Die Zeichenfolge wird in den Header der Autorisierungsanforderung eingefügt und an den Server gesendet.

FAPI

Eine Arbeitsgruppe der OpenID Foundation, die Protokolle, Datenschemas und Sicherheitsempfehlungen für die Finanzbranche bereitstellt. Die API wurde ursprünglich als Financial Grade API bekannt.

GEHRUNG

Ein privates gemeinnütziges Unternehmen, das technische und sicherheitstechnische Leitlinien für die US-Luftwaffe und die US-Regierung bereitstellt.

Weitere Ressourcen

Im Folgenden finden Sie einige zusätzliche Ressourcen. Sie sollten diese Seiten durchsehen, um weitere Informationen über OAuth 2.0 und die zugehörigen Standards zu erhalten.

Zusätzliche Tools und Dienstprogramme
NetApp Dokumentation und Ressourcen