Trabajar con grupos
Sugerir cambios
PDF
ONTAP proporciona varias opciones para configurar grupos en función del servidor de autorización. A continuación, los grupos pueden asignarse a roles que usa ONTAP para determinar el acceso.
Cómo se identifican los grupos
Cuando configura un grupo en un servidor de autorización, se identifica y se lleva a cabo en un token de acceso OAuth 2,0 mediante un nombre o UUID. Debe saber cómo maneja el servidor de autorización los grupos antes de configurar ONTAP.
|
Si se incluyen varios grupos en un token de acceso, ONTAP intentará utilizar cada uno hasta que haya una coincidencia. |
Nombres de grupo
Muchos servidores de autorización identifican y representan grupos con un nombre. Aquí hay un fragmento de un token de acceso JSON generado por el servicio de federación de Active Directory (ADFS) que contiene varios grupos. Consulte Gestionar grupos con nombres para obtener más información.
...
"sub": "User1_TestDev@NICAD5.COM",
"group": [
"NICAD5\\Domain Users",
"NICAD5\\Development Group",
"NICAD5\\Production Group"
],
"apptype": "Confidential",
"appid": "3bff3b2b-8e40-44ba-7c11-d73c3b76e3e8",
...
UUID de grupo
Algunos servidores de autorización identifican y representan grupos que utilizan un UUID. Aquí hay un fragmento de un token de acceso JSON generado por Microsoft Entra ID que contiene varios grupos. Consulte Gestionar grupos con UUID para obtener más información.
...
"appid": "4aff4b4b-8e40-44ba-7c11-d73c3b76e3d7",
"appidacr": "1",
"groups": [
"8ea4c5b0-bcad-4e66-8f1e-cd395474a448",
"a8558fc2-a1b2-4cb7-cc41-59bd831840cc"],
"name": "admin007 with group membership",
...
Gestionar grupos con nombres
Si el servidor de autorización utiliza nombres para identificar grupos, debe asegurarse de que cada grupo está definido en ONTAP. En función del entorno de seguridad, es posible que ya haya definido el grupo.
He aquí un ejemplo de comando de la CLI que define un grupo a ONTAP. Observe que está utilizando un grupo con nombre del token de acceso de muestra. Debe estar en el nivel de privilegio admin de ONTAP para emitir el comando.
security login create -user-or-group-name "NICAD5\\Domain Users" -application http -authentication-method domain -role admin
|
|
También puede configurar esta función con la API de REST DE ONTAP. Obtenga más información en el "Documentación de automatización de ONTAP". |
Gestionar grupos con UUID
Si el servidor de autorización representa grupos que utilizan valores UUID, debe realizar una configuración de dos pasos antes de utilizar un grupo. A partir de ONTAP 9.16,1, hay dos funciones de mapeo disponibles y se han probado con Microsoft Entra ID. Debe estar en el nivel de privilegio admin de ONTAP para emitir los comandos de la CLI.
|
|
También es posible configurar estas funciones mediante la API de REST DE ONTAP. Obtenga más información en el "Documentación de automatización de ONTAP". |
Asignar un UUID de grupo a un nombre de grupo
Si está utilizando un servidor de autorización que representa grupos que utilizan valores UUID, debe asignar los UUID de grupo a nombres de grupo. A continuación se describen las operaciones principales de la interfaz de línea de comandos de ONTAP.
Cree
Puede definir una nueva configuración de asignación de grupo con el security login group create comando. El UUID y el nombre del grupo deben coincidir con la configuración del servidor de autorización.
A continuación se describen los parámetros utilizados para crear una asignación de grupo.
| Parámetro | Descripción |
|---|---|
|
De manera opcional especifica el nombre de la SVM (Vserver) a la que está asociado el grupo. Si se omite, el grupo está asociado con el clúster de ONTAP. |
|
Nombre único del grupo que utilizará ONTAP. |
|
Este valor indica el proveedor de identidad del que se origina el grupo. |
|
Especifica el identificador único universal del grupo proporcionado por el servidor de autorización. |
He aquí un ejemplo de comando de la CLI que define un grupo a ONTAP. Observe que está utilizando un grupo UUID desde el token de acceso de muestra.
security login group create -vserver ontap-cls-1 -name IAM_Dev -type entra -uuid 8ea4c5b0-bcad-4e66-8f1e-cd395474a448
Después de crear el grupo, se genera un identificador entero único de solo lectura para el grupo.
Operaciones de CLI adicionales
El comando admite varias operaciones adicionales, entre las que se incluyen:
-
Mostrar
-
Modificar
-
Eliminar
Puede utilizar show la opción para recuperar el ID de grupo único generado para un grupo. Consulte la documentación de referencia de comandos de ONTAP para obtener más información.
Asignar un UUID de grupo a un rol
Si está utilizando un servidor de autorización que representa grupos que utilizan valores UUID, puede asignar el grupo a un rol. A continuación se describen las operaciones principales de la interfaz de línea de comandos de ONTAP. Además, debe estar en el nivel de privilegio admin de ONTAP para emitir los comandos.
|
|
Primero, debe Asignar un UUID de grupo a un nombre de gruporecuperar el ID de número entero único que se genera para el grupo. Necesitará el ID para asignar el grupo a un rol. |
Cree
Puede definir una nueva asignación de roles con security login group role-mapping create el comando.
A continuación se describen los parámetros utilizados para asignar un grupo a un rol.
| Parámetro | Descripción |
|---|---|
|
Especifica el ID único generado para el grupo mediante el comando |
|
Nombre del rol de ONTAP al que está asignado el grupo. |
security login group role-mapping create -group-id 1 -role admin
Operaciones de CLI adicionales
El comando admite varias operaciones adicionales, entre las que se incluyen:
-
Mostrar
-
Modificar
-
Eliminar
Consulte la documentación de referencia de comandos de ONTAP para obtener más información.