Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Descripción general y opciones para la autorización del cliente de ONTAP

Colaboradores
PDF

La implementación de ONTAP OAuth 2,0 está diseñada para ser flexible y robusta, proporcionando las características que necesita para proteger su entorno ONTAP. Hay varias opciones de configuración mutuamente excluyentes disponibles. Las decisiones de autorización se basan en última instancia en los roles REST DE ONTAP contenidos en o derivados de los tokens de acceso OAuth 2,0.

Precaución Solo puede utilizar "Roles DE REST de ONTAP" Al configurar la autorización para OAuth 2,0. No se admiten los roles tradicionales de ONTAP anteriores.

ONTAP aplica la opción de autorización más adecuada en función de su configuración. Consulte "Cómo ONTAP determina el acceso" para obtener más información acerca de cómo ONTAP toma decisiones sobre el acceso de los clientes.

OAuth 2,0 ámbitos independientes

Estos ámbitos contienen uno o más roles REST personalizados, cada uno encapsulado dentro de una única cadena en el token de acceso. Son independientes de las definiciones de roles de ONTAP. Debe configurar las cadenas de ámbito en el servidor de autorización. Consulte "Alcances OAuth 2,0 autónomos" para obtener más información.

Roles DE REST DE ONTAP local

Se puede utilizar un único rol REST con nombre, ya sea Builtin o Custom. La sintaxis del ámbito para un rol con nombre es ontap-role-<URL-encoded-ONTAP-role-name>. Por ejemplo, si el rol ONTAP es admin la cadena de ámbito será ontap-role-admin.

Usuarios

Se puede utilizar el nombre de usuario en el token de acceso definido con acceso a la aplicación http. Un usuario se prueba en el siguiente orden según el método de autenticación definido: Contraseña, dominio (Active Directory), nsswitch (LDAP).

Grupos

Los servidores de autorización se pueden configurar para utilizar grupos ONTAP para su autorización. Si se examinan las definiciones de ONTAP locales pero no se puede tomar ninguna decisión de acceso, se utilizan los grupos de Active Directory («dominio») o LDAP («nsswitch»). La información del grupo se puede especificar de dos formas:

  • Cadena de ámbito de OAuth 2,0

    Admite aplicaciones confidenciales mediante el flujo de credenciales de cliente donde no hay ningún usuario con una pertenencia a grupo. El ámbito debe denominarse ontap-group-<URL-encoded-ONTAP-group-name>. Por ejemplo, si el grupo está en «desarrollo», la cadena de alcance será «ontap-group-development».

  • En el reclamo de “grupo”

    Esto está destinado a los tokens de acceso emitidos por ADFS mediante el flujo de propietario de recursos (concesión de contraseña).

Consulte "Trabajar con grupos" para obtener más información.