Versionshinweise
Überblick über die Implementierung von ONTAP OAuth 2.0
Änderungen vorschlagen
-
PDF dieser Dokumentationssite
-
Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
-
Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
-
-
NAS-Storage-Management
-
Konfigurieren Sie NFS mit der CLI
-
Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
-
Verwalten Sie SMB-Server
-
Verwalten Sie den Dateizugriff mit SMB
-
-
-
SAN-Storage-Management
-
Authentifizierung und Zugriffssteuerung
-
Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Managen Sie die SnapMirror Volume-Replizierung
-
-
Sammlung separater PDF-Dokumente
Creating your file...
Ab ONTAP 9.14 haben Sie die Möglichkeit, den Zugriff auf Ihre ONTAP-Cluster über das Open Authorization (OAuth 2.0)-Framework zu steuern. Sie können diese Funktion über jede der ONTAP-Administrationsschnittstellen konfigurieren, einschließlich der ONTAP-CLI, System Manager und REST-API. Die OAuth 2.0-Autorisierungs- und Zugriffskontrollentscheidungen können jedoch nur angewendet werden, wenn ein Client über die REST-API auf ONTAP zugreift.
|
Die Unterstützung für OAuth 2.0 wurde erstmals mit ONTAP 9.14.0 eingeführt, sodass die Verfügbarkeit von der von Ihnen verwendeten ONTAP Version abhängt. Siehe "Versionshinweise zu ONTAP" Finden Sie weitere Informationen. |
Funktionen und Vorteile
Die wichtigsten Merkmale und Vorteile der Verwendung von OAuth 2.0 mit ONTAP sind im Folgenden beschrieben.
OAuth 2.0 ist das Standard-Autorisierungsframework der Branche. Sie wird verwendet, um den Zugriff auf geschützte Ressourcen mit signierten Zugriffstoken zu beschränken und zu steuern. Die Verwendung von OAuth 2.0 bietet mehrere Vorteile:
-
Viele Optionen für die Berechtigungskonfiguration
-
Geben Sie niemals die Client-Anmeldeinformationen einschließlich Passwörter bekannt
-
Token können basierend auf Ihrer Konfiguration auf „ablaufen lassen“ gesetzt werden
-
Ideal geeignet für den Einsatz mit REST-APIs
Die ONTAP-Implementierung ist mit jedem OAuth 2.0-konformen Autorisierungsserver kompatibel. Es wurde mit den folgenden gängigen Servern oder Diensten getestet, darunter:
-
Auth0
-
Active Directory Federation Service (ADFS)
-
Keycloak
Sie können bis zu acht Autorisierungsserver für einen einzelnen ONTAP-Cluster definieren. Dadurch erhalten Sie die Flexibilität, die Anforderungen Ihrer vielfältigen Sicherheitsumgebung zu erfüllen.
Die ONTAP-Autorisierungsentscheidungen basieren letztlich auf den REST-Rollen, die Benutzern oder Gruppen zugewiesen sind. Diese Rollen werden entweder als eigenständige Bereiche im Zugriffstoken oder auf der Grundlage lokaler ONTAP-Definitionen zusammen mit Active Directory- oder LDAP-Gruppen übertragen.
Sie können ONTAP und die Autorisierungsserver so konfigurieren, dass die gegenseitige Transportschicht-Sicherheit (MTLS) verwendet wird, wodurch die Clientauthentifizierung gestärkt wird. Sie garantiert, dass die OAuth 2.0-Zugriffstoken nur von den Clients verwendet werden, auf die sie ursprünglich ausgestellt wurden. Diese Funktion unterstützt und harmonisiert mit mehreren gängigen Sicherheitsempfehlungen, einschließlich der von FAPI und MITER festgelegten.
Implementierung und Konfiguration
Auf hoher Ebene gibt es mehrere Aspekte einer OAuth 2.0-Implementierung und -Konfiguration, die Sie bei der Inbetriebnahme berücksichtigen sollten.
Das OAuth 2.0-Autorisierungs-Framework definiert mehrere Einheiten, die realen oder virtuellen Elementen in Ihrem Rechenzentrum oder Netzwerk zugeordnet werden können. Die OAuth 2.0 Einheiten und ihre Anpassung an ONTAP sind in der folgenden Tabelle dargestellt.
| OAuth 2.0-Einheit | Beschreibung |
|---|---|
Ressource |
Die REST-API-Endpunkte, die über interne ONTAP-Befehle Zugriff auf die ONTAP-Ressourcen bieten. |
Ressourceneigentümer |
Der ONTAP-Cluster-Benutzer, der die geschützte Ressource erstellt hat oder der sie standardmäßig besitzt. |
Ressourcenserver |
Der Host für die geschützten Ressourcen, die der ONTAP-Cluster ist. |
Client |
Eine Applikation, die den Zugriff auf einen REST-API-Endpunkt im Namen oder mit Genehmigung des Ressourceneigentümers anfordert. |
Autorisierungsserver |
In der Regel ein dedizierter Server, der für die Ausgabe von Zugriffstoken und die Durchsetzung von Verwaltungsrichtlinien verantwortlich ist. |
Sie müssen den ONTAP-Cluster konfigurieren, um OAuth 2.0 zu aktivieren und zu verwenden. Dazu gehört die Einrichtung einer Verbindung zum Autorisierungsserver und die Definition der erforderlichen ONTAP-Autorisierungskonfiguration. Sie können diese Konfiguration über eine der Administrationsschnittstellen durchführen, einschließlich:
-
ONTAP Befehlszeilenschnittstelle
-
System Manager
-
ONTAP REST API
Zusätzlich zu den ONTAP-Definitionen müssen Sie auch die Autorisierungsserver konfigurieren. Wenn Sie eine Gruppen-zu-Rollen-Zuordnung verwenden, müssen Sie auch die Active Directory-Gruppen oder das LDAP-Äquivalent konfigurieren.
Ab ONTAP 9.14 kann ein REST-API-Client über OAuth 2.0 auf ONTAP zugreifen. Bevor Sie einen REST-API-Aufruf ausgeben, müssen Sie ein Zugriffstoken vom Autorisierungsserver beziehen. Der Client leitet dieses Token dann über den Header der HTTP-Autorisierungsanforderung als Bearer-Token an den ONTAP-Cluster weiter. Je nach Sicherheitsstufe können Sie auch ein Zertifikat auf dem Client erstellen und installieren, um auf MTLS basierende Token mit Senderbeschränkungen zu verwenden.
Ausgewählte Terminologie
Wenn Sie sich mit einer OAuth 2.0-Bereitstellung mit ONTAP vertraut machen, ist es hilfreich, sich mit einigen Begriffen vertraut zu machen. Siehe "Weitere Ressourcen" Für Links zu weiteren Informationen über OAuth 2.0.
- Access Token
-
Ein Token, das von einem Autorisierungsserver ausgegeben und von einer OAuth 2.0-Clientanwendung verwendet wird, um Anfragen für den Zugriff auf die geschützten Ressourcen zu stellen.
- JSON-Webtoken
-
Der Standard, der zum Formatieren der Zugriffstoken verwendet wird. JSON wird verwendet, um die OAuth 2.0 Claims in einem kompakten Format darzustellen, wobei die Claims in drei Hauptabschnitten angeordnet sind.
- Zugriffstoken, die durch den Absender eingeschränkt sind
-
Eine optionale Funktion, die auf dem Protokoll Mutual Transport Layer Security (MTLS) basiert. Durch die Verwendung eines zusätzlichen Bestätigungsanspruchs im Token wird sichergestellt, dass das Zugriffstoken nur von dem Client verwendet wird, auf den es ursprünglich ausgestellt wurde.
- JSON-Webschlüsselsatz
-
Ein JWKS ist eine Sammlung öffentlicher Schlüssel, die von ONTAP zur Überprüfung der von den Clients präsentierten JWT-Token verwendet werden. Die Schlüsselsätze sind normalerweise über einen dedizierten URI am Autorisierungsserver verfügbar.
- Umfang
-
Scopes bieten eine Möglichkeit, den Zugriff einer Applikation auf geschützte Ressourcen wie die REST-API von ONTAP zu beschränken oder zu steuern. Sie werden im Zugriffstoken als Strings dargestellt.
- ONTAP-REST-Rolle
-
REST-Rollen wurden mit ONTAP 9.6 eingeführt und sind ein wichtiger Bestandteil des RBAC Framework von ONTAP. Diese Rollen unterscheiden sich von den früheren herkömmlichen Rollen, die immer noch von ONTAP unterstützt werden. Die OAuth 2.0-Implementierung in ONTAP unterstützt nur REST-Rollen.
- HTTP-Autorisierungskopf
-
Eine Kopfzeile, die in der HTTP-Anforderung enthalten ist, um den Client und die zugehörigen Berechtigungen als Teil eines REST-API-Aufrufs zu identifizieren. Je nachdem, wie Authentifizierung und Autorisierung durchgeführt werden, stehen verschiedene Varianten oder Implementierungen zur Verfügung. Wenn ein OAuth 2.0-Zugriffstoken an ONTAP übergeben wird, wird das Token als Bearer Token identifiziert.
- HTTP-Basisauthentifizierung
-
Eine frühe HTTP-Authentifizierungstechnik, die noch von ONTAP unterstützt wird. Die Klartext-Anmeldeinformationen (Benutzername und Passwort) werden mit einem Doppelpunkt verkettet und in base64 kodiert. Die Zeichenfolge wird in den Header der Autorisierungsanforderung eingefügt und an den Server gesendet.
- FAPI
-
Eine Arbeitsgruppe der OpenID Foundation, die Protokolle, Datenschemas und Sicherheitsempfehlungen für die Finanzbranche bereitstellt. Die API wurde ursprünglich als Financial Grade API bekannt.
- GEHRUNG
-
Ein privates gemeinnütziges Unternehmen, das technische und sicherheitstechnische Leitlinien für die US-Luftwaffe und die US-Regierung bereitstellt.
Weitere Ressourcen
Im Folgenden finden Sie einige zusätzliche Ressourcen. Sie sollten diese Seiten durchsehen, um weitere Informationen über OAuth 2.0 und die zugehörigen Standards zu erhalten.
-
"ONTAP-Automatisierung" Dokumentation