Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Autenticación y autorización para la API de REST de AIDE

Colaboradores dmp-netapp
PDF

Antes de utilizar la API de REST de ONTAP con extensiones AIDE, debes conocer las opciones de autenticación y autorización.

Opciones de autenticación de la API de REST de ONTAP

La API de REST de ONTAP admite dos técnicas principales de autenticación.

Autenticación básica

La autenticación básica es una técnica sencilla definida como parte del protocolo HTTP. Con la autenticación básica, proporcionas un nombre de usuario y una contraseña (combinados y codificados en base64) en la cabecera Authorization de tus llamadas a la API. No se recomienda para su uso con la API de REST de AIDE, pero aún puede usarse con las llamadas a la API de ONTAP existentes.

Autenticación OAuth 2.0

A partir de 9.14.1, ONTAP también es compatible con OAuth 2.0. Se trata de un marco de autenticación más seguro y flexible. Cuando se utiliza OAuth 2.0, necesitas solicitar un token de acceso a un proveedor de identidad externo (IdP) e incluirlo en cada solicitud HTTP.

AI Data Engine y OpenID Connect

OpenID Connect (OIDC) se basa en OAuth 2.0 y proporciona una opción segura y estandarizada a la hora de autenticar usuarios y aplicaciones. Se requiere OIDC para acceder a la funcionalidad de DCN y AIDE. Después de "Configura OpenID Connect para AIDE en ONTAP", el acceso a ONTAP System Manager y a la página Swagger on-box están protegidos por la autenticación OIDC.

Como parte de la configuración de OIDC en ONTAP System Manager, OAuth 2.0 se habilita automáticamente y se crea un cliente OAuth 2.0. Luego puedes adquirir un token de acceso a través del token_endpoint de tu IdP, que normalmente se puede determinar a partir del URI de metadatos del IdP. Los tokens de acceso deben incluirse en la cabecera Authorization de tus llamadas a la API para autenticar y autorizar el acceso a los recursos de AIDE.

Mejoras en la implementación de ONTAP RBAC

El acceso a la API de REST de AIDE está protegido mediante el framework de control de acceso basado en roles (RBAC) de ONTAP. Los usuarios deben tener asignados los roles y privilegios adecuados en ONTAP para acceder a los recursos de AIDE y realizar operaciones a través de la API de REST.

Existen dos roles adicionales de ONTAP compatibles con AIDE. Los roles externos equivalentes definidos en tu IdP deben asignarse a estos roles de ONTAP para proporcionar el acceso necesario a los recursos de AIDE.

Nota Además de los dos nuevos roles de ONTAP, también necesitas asignar el rol de administrador de almacenamiento externo al rol existente de ONTAP admin. Consulta "Componentes de AI Data Engine e interacciones basadas en roles" y "Configura OpenID Connect para AIDE en ONTAP" para más información.
ingeniero de datos

Se trata de un rol administrativo ONTAP predefinido para el AIDE Data Engineer. Restringe el acceso únicamente a los endpoints, así como a los directorios de comandos CLI correspondientes, necesarios para realizar tareas de ingeniería de datos de AIDE. Las tareas incluyen trabajar con workspaces y data collections, ver jobs y usar la vista previa de archivos cuando esté permitido.

científico de datos

Se trata de un segundo rol administrativo predefinido de ONTAP para el data scientist de AIDE. Del mismo modo, restringe el acceso únicamente a las API de REST y a los directorios de comandos CLI correspondientes necesarios para los flujos de trabajo del data scientist de AIDE.

Adquirir un token de acceso

Es necesario adquirir un token de acceso para utilizarlo con la llamada a la API de REST. La solicitud del token se realiza fuera de ONTAP y el procedimiento exacto depende del servidor de autorización y de su configuración. Puedes solicitar el token a través de un navegador web, con un comando curl o utilizando un lenguaje de programación. A modo de ilustración, se presenta un ejemplo de cómo se puede solicitar un token de acceso a Microsoft Entra ID utilizando curl.

Antes de empezar

Ten en cuenta lo siguiente:

  • Debes "Configura OpenID Connect para AIDE en ONTAP" para un clúster habilitado para AIDE.

  • Determina el token_endpoint de tu IdP, normalmente disponible a través del URI de metadatos de OIDC.

  • Busca los valores adecuados para la configuración, como CLIENT_ID, según tu IdP.

  • Los parámetros de configuración como TENANT_ID, CLIENT_ID y CLIENT_SECRET están en formato UUID. USERNAME y PASSWORD son credenciales en texto plano.

  • Opcionalmente, puedes definir los valores de las variables en el intérprete de comandos Bash para usarlos con el comando curl.

Pasos

  1. Emite el siguiente comando en la CLI de tu estación de trabajo local, proporcionando valores para las variables según tu entorno:

    curl --location "https://login.microsoftonline.com/$TENANT_ID/oauth2/v2.0/token" \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode "grant_type=password" \
--data-urlencode "client_id=$CLIENT_ID" \
--data-urlencode "client_secret=$CLIENT_SECRET" \
--data-urlencode "scope=$SCOPE/.default" \
--data-urlencode "username=$USERNAME" \
--data-urlencode "password=$PASSWORD"

  2. Revisa la respuesta y extrae el token de acceso para usarlo en una llamada a la API de REST.

Información relacionada