Notas de la versión
Escenarios de despliegue de OAuth 2,0
Sugerir cambios
-
PDF de este sitio de documentos
-
Administración de clústeres
-
Administración de volúmenes
-
Gestión de almacenamiento lógico con CLI
-
Utilice cuotas para restringir o realizar un seguimiento del uso de los recursos
-
-
-
Gestión del almacenamiento nas
-
Configure NFS con la CLI
-
Gestione NFS con la interfaz de línea de comandos
-
Gestione SMB con la interfaz de línea de comandos
-
Gestione servidores SMB
-
Gestione el acceso a archivos mediante SMB
-
-
-
Gestión del almacenamiento san
-
Autenticación y control de acceso
-
Seguridad y cifrado de datos
-
Protección de datos y recuperación ante desastres
-
Recopilación de documentos PDF independientes
Creating your file...
Hay varias opciones de configuración disponibles al definir un servidor de autorización en ONTAP. Basándose en estas opciones, puede crear un servidor de autorización adecuado para su entorno de despliegue.
Resumen de los parámetros de configuración
Hay varios parámetros de configuración disponibles al definir un servidor de autorización en ONTAP. Estos parámetros se admiten generalmente en todas las interfaces administrativas.
Los nombres de los parámetros pueden variar levemente dependiendo de la interfaz administrativa de ONTAP. Por ejemplo, al configurar la introspección remota, el punto final se identifica mediante el parámetro de comando CLI -introspection-endpoint. Pero con System Manager, el campo equivalente es Authorization server token introspection URI. Para acomodar todas las interfaces administrativas de ONTAP, se proporciona una descripción general de los parámetros. El parámetro o campo exacto debe ser obvio en función del contexto.
| Parámetro | Descripción |
|---|---|
Nombre |
Nombre del servidor de autorización tal y como lo conoce ONTAP. |
Cliente más |
Aplicación interna de ONTAP a la que se aplica la definición. Debe ser http. |
URI del emisor |
El FQDN con ruta que identifica el sitio u organización que emite los tokens. |
URI de JWKS de Proveedor |
El FQDN con ruta y nombre de archivo donde ONTAP obtiene los conjuntos de claves web JSON utilizados para validar los tokens de acceso. |
Intervalo de refrescamiento de JWKS |
Intervalo de tiempo que determina la frecuencia con la que ONTAP refresca la información de certificado del URI JWKS del proveedor. El valor se especifica en formato ISO-8601. |
Punto final de introspección |
El FQDN con ruta que ONTAP utiliza para realizar la validación remota de tokens mediante introspección. |
ID del cliente |
El nombre del cliente tal y como se define en el servidor de autorización. Cuando se incluye este valor, también debe proporcionar el secreto de cliente asociado basado en la interfaz. |
Proxy saliente |
Esto es para proporcionar acceso al servidor de autorización cuando ONTAP está detrás de un firewall. El URI debe tener el formato cURL. |
Utilice roles locales si están presentes |
Un indicador booleano que determina si se usan las definiciones de ONTAP locales, incluido un rol REST con nombre y los usuarios locales. |
Eliminar reclamación de usuario |
Nombre alternativo que utiliza ONTAP para coincidir con los usuarios locales. Utilice la |
Escenarios de puesta en marcha
A continuación se presentan varios escenarios de implementación comunes. Se organizan en función de si ONTAP realiza la validación de tokens de forma local o remota mediante el servidor de autorización. Cada escenario incluye una lista de las opciones de configuración necesarias. Consulte "Desplegar OAuth 2,0 en ONTAP" para ver ejemplos de los comandos de configuración.
|
Después de definir un servidor de autorización, puede mostrar su configuración a través de la interfaz administrativa de ONTAP. Por ejemplo, utilice el comando security oauth2 client show Con la CLI de ONTAP.
|
Validación local
Los siguientes escenarios de implementación se basan en que ONTAP realiza la validación de tokens localmente.
Esta es la implementación más sencilla utilizando solo los ámbitos autónomos de OAuth 2,0. No se utiliza ninguna definición de identidad ONTAP local. Debe incluir los siguientes parámetros:
-
Nombre
-
Aplicación (http)
-
URI de JWKS de Proveedor
-
URI del emisor
También debe añadir los ámbitos en el servidor de autorización.
Este escenario de despliegue utiliza los ámbitos autónomos de OAuth 2,0. No se utiliza ninguna definición de identidad ONTAP local. Pero el servidor de autorización está detrás de un firewall y, por lo tanto, debe configurar un proxy. Debe incluir los siguientes parámetros:
-
Nombre
-
Aplicación (http)
-
URI de JWKS de Proveedor
-
Proxy saliente
-
URI del emisor
-
Destinatarios
También debe añadir los ámbitos en el servidor de autorización.
Este escenario de despliegue utiliza roles de usuario local con asignación de nombres por defecto. La reclamación de usuario remoto utiliza el valor predeterminado de sub por lo tanto, este campo en el token de acceso se utiliza para coincidir con el nombre de usuario local. El nombre de usuario debe tener 40 caracteres o menos. El servidor de autorización está detrás de un firewall, por lo que también debe configurar un proxy. Debe incluir los siguientes parámetros:
-
Nombre
-
Aplicación (http)
-
URI de JWKS de Proveedor
-
Utilice roles locales si están presentes (
true) -
Proxy saliente
-
Emisor
Debe asegurarse de que el usuario local esté definido en ONTAP.
Este escenario de despliegue utiliza roles de usuario local con un nombre de usuario alternativo que se utiliza para que coincida con un usuario local de ONTAP. El servidor de autorización está detrás de un firewall, por lo que debe configurar un proxy. Debe incluir los siguientes parámetros:
-
Nombre
-
Aplicación (http)
-
URI de JWKS de Proveedor
-
Utilice roles locales si están presentes (
true) -
Reclamación de usuario remoto
-
Proxy saliente
-
URI del emisor
-
Destinatarios
Debe asegurarse de que el usuario local esté definido en ONTAP.
Introspección remota
Las siguientes configuraciones de implementación se basan en que ONTAP realiza la validación de tokens de forma remota a través de introspección.
Esta es una implementación sencilla basada en el uso de los ámbitos autónomos OAuth 2,0. No se utiliza ninguna definición de identidad de ONTAP. Debe incluir los siguientes parámetros:
-
Nombre
-
Aplicación (http)
-
Punto final de introspección
-
ID del cliente
-
URI del emisor
Debe definir los ámbitos, así como el secreto de cliente y cliente en el servidor de autorización.