Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configura OpenID Connect para AIDE en ONTAP

Colaboradores dmp-netapp netapp-bhouser netapp-dbagwell
PDF

Como administrador de un clúster ONTAP, puedes usar ONTAP System Manager para configurar la autenticación OpenID Connect (OIDC) para un clúster AI Data Engine (AIDE). Esto te da un inicio de sesión seguro y centralizado a través de un proveedor de identidades externo (IdP).

Precaución Debes configurar OIDC para acceder a la AI Data Engine Console. Cuando está configurado, toda la autenticación pasa por OIDC. Si OIDC no está configurado, la consola no estará disponible para los administradores, los data engineers y los data scientists. En este caso, iniciar sesión en System Manager vuelve a la autenticación local.

Ten en cuenta también lo siguiente sobre la configuración de OIDC para el acceso a AIDE:

  • No puedes modificar una configuración OIDC existente. Si necesitas hacer un cambio, primero elimina la configuración y crea una nueva con los ajustes que quieras.

  • Si desactivas o eliminas OIDC, System Manager volverá a la autenticación local de usuarios de ONTAP.

Descripción general de OIDC

OpenID Connect (OIDC) es un protocolo de autenticación construido sobre el marco OAuth 2.0. Extiende OAuth 2.0, que se usa principalmente para autorización, añadiendo una capa de identidad. OIDC introduce el concepto de un ID token, que es un JSON Web Token (JWT) que contiene claims sobre el evento de autenticación y la identidad del usuario.

Necesitas seleccionar y configurar un proveedor de identidad externo (IdP) compatible con AFX con AIDE. El IdP autentica a los usuarios y emite tokens que AFX, a través de System Manager, puede usar para dar acceso a la AIDE Console.

Configura proveedores de identidad de terceros

Para autenticarte usando OIDC, primero necesitas configurar un IdP externo. La implementación de ONTAP de OIDC usa reclamos de rol en los tokens para aplicar RBAC. Cuando configures un IdP, asegúrate de que esté configurado para devolver reclamos de rol en el id token y el access token. ONTAP admite dos IdPs para la autenticación OIDC: Entra ID y Active Directory Federation Services (AD FS).

Entra ID

Puedes configurar Entra ID usando los siguientes pasos a grandes rasgos:

  1. Crea un nuevo registro de aplicación en la página de configuración de Entra ID.

  2. Establece el valor de Redirect URI (Web) en https://$CLUSTER_MGMT_IP/oidc/callback, sustituyendo la dirección IP de gestión del clúster o el FQDN correspondiente.

  3. Crea los roles necesarios en App Roles y asígnalos a tus usuarios.

  4. Actualiza las reclamaciones de token en Configuración de token para devolver roles en id-token y access-token.

Consulta "Configura un proveedor de OpenID Connect con Entra ID" para más información.

Active Directory Federation Services

Puedes configurar AD FS usando los siguientes pasos a grandes rasgos:

  1. Crea un nuevo grupo de aplicaciones y selecciona Aplicación de servidor que accede a una API web.

  2. Establece el valor de Redirect URI (Web) en https://$CLUSTER_MGMT_IP/oidc/callback, sustituyendo la dirección IP de gestión del clúster o el FQDN correspondiente.

  3. Configura las reclamaciones para devolver roles en los tokens.

Consulta "Agrega AD FS como proveedor de identidad de OpenID Connect" para más información.

Configura OIDC en System Manager

Después de configurar tu IdP, puedes configurar la autenticación OIDC en System Manager para habilitar el acceso seguro a la AI Data Engine Console.

Antes de empezar

  • Necesitas tener acceso de administrador a System Manager.

  • Tu proveedor de identidad OIDC debe estar configurado y accesible.

Pasos

  1. En System Manager, selecciona Cluster y luego Settings; localiza la tarjeta OpenID Connect.

  2. Si OIDC ya está configurado, puedes editar o desactivar la configuración. Si OIDC no está configurado, selecciona icono de engranaje para empezar el proceso de configuración.

  3. En Configurar OpenID Connect, proporciona valores para los siguientes campos:

    • Proveedor

    • Emisor

    • URI del conjunto de claves web JSON

    • Punto final de autorización

    • Punto final de token

    • Punto final de la sesión

    • Emisor del token de acceso (opcional)

  4. En configuración del cliente, indica los valores de los siguientes campos:

    • ID de cliente

    • Reclamación de usuario remoto

    • Intervalo de actualización

  5. En Detalles de la conexión, proporciona valores para los siguientes campos:

    • Dirección IP del clúster o FQDN

    • Proxy de salida (opcional)

  6. En Asignación de funciones externa, selecciona una asignación de funciones existente o define una nueva función para el usuario de ONTAP admin.

  7. Selecciona Enable now y luego Save. System Manager se actualizará para aplicar la nueva configuración de autenticación.

  8. Inicia sesión con tus credenciales de IdP; después de autenticarte correctamente, volverás a System Manager.

Información relacionada