Escenarios de despliegue de OAuth 2,0
Sugerir cambios
PDF
Hay varias opciones de configuración disponibles al definir un servidor de autorización en ONTAP. En función de estas opciones, puede definir un servidor de autorización adecuado para su entorno mediante uno de los varios escenarios de implementación.
Resumen de los parámetros de configuración
Hay varios parámetros de configuración disponibles al definir un servidor de autorización en ONTAP. Estos parámetros se admiten generalmente en todas las interfaces administrativas.
|
El nombre utilizado para un parámetro o campo individual puede variar en función de la interfaz administrativa de ONTAP. Para acomodar las diferencias en las interfaces administrativas, se utiliza un único nombre genérico para cada parámetro de la tabla. El nombre exacto utilizado con una interfaz específica debe ser obvio basado en el contexto. |
| Parámetro | Descripción |
|---|---|
Nombre |
Nombre del servidor de autorización tal y como lo conoce ONTAP. |
Cliente más |
Aplicación interna de ONTAP a la que se aplica la definición. Debe ser http. |
URI del emisor |
El FQDN con ruta que identifica el sitio u organización que emite los tokens. |
URI de JWKS de Proveedor |
El FQDN con ruta y nombre de archivo donde ONTAP obtiene los conjuntos de claves web JSON utilizados para validar los tokens de acceso. |
Intervalo de refrescamiento de JWKS |
Intervalo de tiempo que determina la frecuencia con la que ONTAP refresca la información de certificado del URI JWKS del proveedor. El valor se especifica en formato ISO-8601. |
Punto final de introspección |
El FQDN con ruta que ONTAP utiliza para realizar la validación remota de tokens mediante introspección. |
ID del cliente |
El nombre del cliente tal y como se define en el servidor de autorización. Cuando se incluye este valor, también debe proporcionar el secreto de cliente asociado basado en la interfaz. |
Proxy saliente |
Esto es para proporcionar acceso al servidor de autorización cuando ONTAP está detrás de un firewall. El URI debe tener el formato cURL. |
Utilice roles locales si están presentes |
Un indicador booleano que determina si se usan las definiciones de ONTAP locales, incluido un rol REST con nombre y los usuarios locales. |
Reclamación de usuario remoto |
Nombre alternativo que utiliza ONTAP para coincidir con los usuarios locales. Utilice la |
Destinatarios |
Este campo define los puntos finales en los que se puede utilizar el token de acceso. |
Escenarios de puesta en marcha
A continuación se presentan varios escenarios de implementación comunes. Se organizan en función de si ONTAP realiza la validación de tokens de forma local o remota mediante el servidor de autorización. Cada escenario incluye una lista de las opciones de configuración necesarias. Consulte "Desplegar OAuth 2,0 en ONTAP" para ver ejemplos de los comandos de configuración.
|
Después de definir un servidor de autorización, puede mostrar su configuración a través de la interfaz administrativa de ONTAP. Por ejemplo, utilice el comando security oauth2 client show Con la CLI de ONTAP.
|
Validación local
Los siguientes escenarios de implementación se basan en que ONTAP realiza la validación de tokens localmente.
Esta es la implementación más sencilla utilizando solo los ámbitos autónomos de OAuth 2,0. No se utiliza ninguna definición de identidad ONTAP local. Debe incluir los siguientes parámetros:
-
Nombre
-
Aplicación (http)
-
URI de JWKS de Proveedor
-
URI del emisor
También debe añadir los ámbitos en el servidor de autorización.
Este escenario de despliegue utiliza los ámbitos autónomos de OAuth 2,0. No se utiliza ninguna definición de identidad ONTAP local. Pero el servidor de autorización está detrás de un firewall y, por lo tanto, debe configurar un proxy. Debe incluir los siguientes parámetros:
-
Nombre
-
Aplicación (http)
-
URI de JWKS de Proveedor
-
Proxy saliente
-
URI del emisor
-
Destinatarios
También debe añadir los ámbitos en el servidor de autorización.
Este escenario de despliegue utiliza roles de usuario local con asignación de nombres por defecto. La reclamación de usuario remoto utiliza el valor predeterminado de sub por lo tanto, este campo en el token de acceso se utiliza para coincidir con el nombre de usuario local. El nombre de usuario debe tener 40 caracteres o menos. El servidor de autorización está detrás de un firewall, por lo que también debe configurar un proxy. Debe incluir los siguientes parámetros:
-
Nombre
-
Aplicación (http)
-
URI de JWKS de Proveedor
-
Utilice roles locales si están presentes (
true) -
Proxy saliente
-
Emisor
Debe asegurarse de que el usuario local esté definido en ONTAP.
Este escenario de despliegue utiliza roles de usuario local con un nombre de usuario alternativo que se utiliza para que coincida con un usuario local de ONTAP. El servidor de autorización está detrás de un firewall, por lo que debe configurar un proxy. Debe incluir los siguientes parámetros:
-
Nombre
-
Aplicación (http)
-
URI de JWKS de Proveedor
-
Utilice roles locales si están presentes (
true) -
Reclamación de usuario remoto
-
Proxy saliente
-
URI del emisor
-
Destinatarios
Debe asegurarse de que el usuario local esté definido en ONTAP.
Introspección remota
Las siguientes configuraciones de implementación se basan en que ONTAP realiza la validación de tokens de forma remota a través de introspección.
Esta es una implementación sencilla basada en el uso de los ámbitos autónomos OAuth 2,0. No se utiliza ninguna definición de identidad de ONTAP. Debe incluir los siguientes parámetros:
-
Nombre
-
Aplicación (http)
-
Punto final de introspección
-
ID del cliente
-
URI del emisor
Debe definir los ámbitos, así como el secreto de cliente y cliente en el servidor de autorización.