Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configurer OpenID Connect pour AIDE dans ONTAP

Contributeurs dmp-netapp netapp-dbagwell netapp-bhouser
PDF

En tant qu'administrateur du cluster ONTAP, vous pouvez utiliser ONTAP System Manager pour configurer l'authentification OpenID Connect (OIDC) pour un cluster AI Data Engine (AIDE). Cela permet une connexion sécurisée et centralisée via un fournisseur d'identité externe (IdP).

Avertissement Vous devez configurer OIDC pour accéder à la AIDE Console. Une fois configuré, toute l'authentification transite par OIDC. Si OIDC n'est pas configuré, la console sera indisponible pour les administrateurs ainsi que pour les data engineers et data scientists. Dans ce cas, la connexion à System Manager revient à l'authentification locale.

Notez également les points suivants concernant la configuration OIDC pour l'accès AIDE :

  • De manière générale, la configuration OIDC se compose de deux étapes principales. Il faut d'abord effectuer la configuration OIDC de base à l'aide de System Manager. Vous pouvez ensuite finaliser la configuration en paramétrant le mappage des rôles externes à l'aide de l'ONTAP CLI.

  • Vous ne pouvez pas modifier une configuration OIDC existante. Si vous devez apporter une modification, supprimez d'abord la configuration et créez-en une nouvelle avec les paramètres souhaités.

  • Si vous désactivez ou supprimez OIDC, System Manager reviendra à l'authentification utilisateur ONTAP locale.

Aperçu de l'OIDC

OpenID Connect (OIDC) est un protocole d'authentification construit sur le framework OAuth 2.0. Il étend OAuth 2.0, qui est utilisé principalement pour l'autorisation, en ajoutant une couche d'identité. OIDC introduit le concept de jeton d'identité, qui est un JSON Web Token (JWT) contenant des revendications sur l'événement d'authentification et l'identité de l'utilisateur.

Vous devez sélectionner et configurer un fournisseur d'identité externe (IdP) compatible avec AFX et AIDE. L'IdP authentifie les utilisateurs et émet des jetons qu'AFX, via System Manager, peut utiliser pour autoriser l'accès à AIDE Console.

Configurer les fournisseurs d'identité tiers

Pour vous authentifier à l'aide d'OIDC, vous devez d'abord configurer un fournisseur d'identité externe. L'implémentation OIDC d'ONTAP utilise les revendications de rôle dans les jetons pour appliquer le RBAC. Lors de la configuration d'un fournisseur d'identité, assurez-vous qu'il est configuré pour renvoyer les revendications de rôle dans le jeton d'identité et le jeton d'accès. ONTAP prend en charge deux IdPs pour l'authentification OIDC : Entra ID et Active Directory Federation Services (AD FS).

Entra ID

Vous pouvez configurer Entra ID en utilisant les étapes générales suivantes :

  1. Créez un nouvel enregistrement d'application sur la page de configuration Entra ID.

  2. Définissez la valeur URI de redirection (Web) sur https://$CLUSTER_MGMT_IP/oidc/callback, en remplaçant l'adresse IP de gestion du cluster ou le FQDN approprié.

  3. Créez les rôles requis sous App Roles et attribuez-les à vos utilisateurs.

  4. Mettez à jour les revendications du jeton sous Configuration du jeton pour renvoyer les rôles dans id-token et access-token.

Voir "Configurez un fournisseur OpenID Connect avec Entra ID" pour plus d'informations.

Active Directory Federation Services

Vous pouvez configurer AD FS en suivant les étapes générales suivantes :

  1. Créez un nouveau groupe d'applications et sélectionnez Server application accessing a web API.

  2. Définissez la valeur URI de redirection (Web) sur https://$CLUSTER_MGMT_IP/oidc/callback, en remplaçant l'adresse IP de gestion du cluster ou le FQDN approprié.

  3. Configurez les revendications pour renvoyer les rôles dans les jetons.

Voir "Ajouter AD FS en tant que fournisseur d'identité OpenID Connect" pour plus d'informations.

Configurer OIDC dans System Manager

Après avoir configuré votre fournisseur d'identité (IdP), vous pouvez configurer l'authentification OIDC dans System Manager pour activer l'accès sécurisé à AI Data Engine Console.

Astuce Vous pouvez fournir l'URI des métadonnées pour renseigner automatiquement les champs de configuration OIDC dans System Manager. Consultez la documentation de votre IdP pour obtenir le format exact de l'URI.
Avant de commencer

  • Vous devez disposer d'un accès administrateur à System Manager.

  • Votre fournisseur d'identité OIDC doit être configuré et accessible.

Étapes

  1. Dans le Gestionnaire système, sélectionnez Cluster puis Paramètres et localisez la carte OpenID Connect.

  2. Si OIDC est déjà configuré, vous pouvez modifier ou désactiver la configuration. Si OIDC n'est pas configuré, sélectionnez icône d'engrenage pour démarrer le processus de configuration.

  3. Sous Configurer OpenID Connect, indiquez les valeurs des champs suivants :

    • Fournisseur

    • Émetteur

    • URI de l'ensemble de clés Web JSON

    • Point de terminaison d'autorisation

    • point de terminaison du token

    • Point de terminaison de fin de session

    • Émetteur de jetons d'accès (facultatif)

  4. Sous Configuration du client, fournissez des valeurs pour les champs suivants :

    • ID client

    • Réclamation de l'utilisateur distant

    • Intervalle de rafraîchissement

  5. Sous Détails de la connexion, fournissez des valeurs pour les champs suivants :

    • Adresse IP du cluster ou FQDN

    • Proxy sortant (facultatif)

  6. Sous Mappage des rôles externes, sélectionnez un mappage de rôle existant ou définissez un nouveau rôle pour l’ONTAP admin user.

  7. Sélectionnez Activer maintenant puis Enregistrer. System Manager s'actualisera pour appliquer les nouveaux paramètres d'authentification.

  8. Connectez-vous avec vos identifiants IdP ; après une authentification réussie, vous serez redirigé vers System Manager.

Après avoir terminé

Terminez la configuration OIDC en configurant le mappage des rôles externes.

Configurez le mappage des rôles externes à l'aide de la CLI

Le mappage des rôles externes est une fonctionnalité ONTAP qui vous permet d’associer les rôles de l’IdP externe aux rôles ONTAP correspondants. Vous devez configurer ce mappage pour garantir que les utilisateurs s’authentifiant via OIDC reçoivent les autorisations RBAC appropriées dans ONTAP.

À propos de cette tâche

Cette tâche associe l'ingénieur de données et le data scientist aux rôles ONTAP correspondants. Vous devez mettre à jour les exemples de commandes avec les noms de rôles appropriés selon votre environnement. Notez que vous devez déjà avoir associé le rôle d'administrateur de stockage au rôle ONTAP admin lors de la configuration OIDC de base dans System Manager.

Étapes

  1. À l'aide de SSH, connectez-vous à l'interface de ligne de commande ONTAP en utilisant un compte disposant de privilèges d'administrateur.

  2. Configurez le mappage de rôle pour le rôle de data engineer ; par exemple :

    security login external-role-mapping create -external-role dataEngineer -provider entra -ontap-role data-engineer

  3. Configurez le mappage de rôle pour le rôle de data scientist ; par exemple :

    security login external-role-mapping create -external-role dataScientist -provider entra -ontap-role data-scientist

Informations connexes