Alcances OAuth 2,0 autónomos
Sugerir cambios
PDF
Los ámbitos autónomos son cadenas que se llevan en el token de acceso. Cada una de ellas es una definición de función personalizada completa e incluye todo lo que ONTAP necesita para tomar una decisión de acceso. El ámbito está separado y distinto de cualquiera de los roles de REST definidos en el propio ONTAP.
Formato de la cadena de ámbito
En un nivel base, el ámbito se representa como una cadena contigua y se compone de seis valores separados por dos puntos. Los parámetros utilizados en la cadena de ámbito se describen a continuación.
ONTAP literal
El ámbito debe comenzar con el valor literal ontap en minúscula. Identifica el ámbito como específico de ONTAP.
Clúster
Esto define al cluster de ONTAP al que se aplica el ámbito. Los valores pueden incluir:
-
UUID del clúster
Identifica un único clúster.
-
Asterisco (*)
Indica que el ámbito se aplica a todos los clusters.
Puede utilizar el comando de la CLI de ONTAP cluster identity show para mostrar el UUID de su clúster. Si no se especifica, el ámbito se aplica a todos los clusters. Obtenga más información sobre cluster identity show en el "Referencia de comandos del ONTAP".
Función
Nombre del rol REST contenido en el ámbito autónomo. ONTAP no examina este valor ni se relaciona con ningún rol de REST existente definido con ONTAP. El nombre se utiliza para el registro.
Nivel de acceso
Este valor indica el nivel de acceso aplicado a la aplicación cliente cuando se utiliza el punto final de API en el ámbito. Hay seis valores posibles, como se describe en la tabla siguiente.
| Nivel de acceso | Descripción |
|---|---|
ninguno |
Deniega todo el acceso al punto final especificado. |
sólo lectura |
Permite solo el acceso de lectura mediante GET. |
read_create |
Permite el acceso de lectura, así como la creación de nuevas instancias de recursos mediante POST. |
read_modify |
Permite el acceso de lectura, así como la capacidad de actualizar los recursos existentes MEDIANTE PARCHE. |
read_create_modify |
Permite todos los accesos excepto eliminar. Las operaciones permitidas incluyen GET (READ), POST (CREATE) y PARCHE (UPDATE). |
todo |
Permite un acceso completo. |
SVM
El nombre de la SVM dentro del clúster al que se aplica el ámbito. Utilice el valor * (asterisco) para indicar todas las SVM.
|
Esta función no es totalmente compatible con ONTAP 9.14.1. Puede ignorar el parámetro SVM y usar un asterisco como marcador de posición. Revise el "Notas de la versión de ONTAP" para comprobar si hay compatibilidad con SVM en el futuro. |
URI DE LA API DE REST
Ruta de acceso completa o parcial a un recurso o juego de recursos relacionados. La cadena debe comenzar por /api. Si no especifica un valor, el alcance se aplica a todos los extremos de API en el clúster de ONTAP.
Ejemplos de ámbito
A continuación se presentan algunos ejemplos de ámbitos autónomos.
- ontap:*:joes-role:read_create_modify:*:/api/cluster
-
Proporciona al usuario asignado a este rol acceso de lectura, creación y modificación al
/clusterpunto final.
Herramienta administrativa de la CLI
Para que la administración de los ámbitos autónomos sea más fácil y menos propensa a errores, ONTAP proporciona el comando CLI security oauth2 scope para generar cadenas de alcance basadas en los parámetros de entrada.
El comando security oauth2 scope tiene dos casos de uso basados en su entrada:
-
Parámetros de CLI para la cadena de ámbito
Puede utilizar esta versión del comando para generar una cadena de ámbito basada en los parámetros de entrada.
-
Cadena de ámbito para parámetros de CLI
Puede utilizar esta versión del comando para generar los parámetros del comando basados en la cadena de ámbito de entrada.
El siguiente ejemplo genera una cadena de ámbito con la salida incluida después del siguiente ejemplo de comando. La definición se aplica a todos los clusters.
security oauth2 scope cli-to-scope -role joes-role -access readonly -api /api/cluster
ontap:*:joes-role:readonly:*:/api/cluster
Obtenga más información sobre security oauth2 scope en el "Referencia de comandos del ONTAP".