Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Présentation et options de l'autorisation client ONTAP

Contributeurs
PDF

L'implémentation ONTAP OAuth 2.0 est conçue pour être flexible et robuste, et vous offre les fonctionnalités dont vous avez besoin pour sécuriser votre environnement ONTAP. Plusieurs options de configuration mutuellement exclusives sont disponibles. Les décisions d'autorisation sont finalement basées sur les rôles REST ONTAP contenus dans ou dérivés des jetons d'accès OAuth 2.0.

Avertissement Vous pouvez uniquement utiliser "Rôles REST ONTAP" Lors de la configuration de l'autorisation pour OAuth 2.0. Les anciens rôles ONTAP traditionnels ne sont pas pris en charge.

ONTAP applique l'option d'autorisation la plus appropriée en fonction de votre configuration. Pour plus d'informations sur la manière dont ONTAP prend les décisions d'accès client, reportez-vous à la section"Comment ONTAP détermine l'accès".

Oscilloscopes autonomes OAuth 2.0

Ces étendues contiennent un ou plusieurs rôles REST personnalisés, chacun encapsulé dans une seule chaîne dans le jeton d'accès. Ils sont indépendants des définitions de rôles ONTAP. Vous devez configurer les chaînes de portée sur votre serveur d'autorisation. Voir "Oscilloscopes OAuth 2.0 autonomes" pour plus d'informations.

Rôles REST ONTAP locaux

Un seul rôle REST nommé, intégré ou personnalisé, peut être utilisé. La syntaxe de portée d'un rôle nommé est ontap-role-<URL-encoded-ONTAP-role-name>. Par exemple, si le rôle ONTAP est admin la chaîne de portée sera ontap-role-admin.

Utilisateurs

Le nom d'utilisateur dans le jeton d'accès défini avec l'accès à l'application « http » peut être utilisé. Un utilisateur est testé dans l'ordre suivant en fonction de la méthode d'authentification définie : mot de passe, domaine (Active Directory), nsswitch (LDAP).

Groupes

Les serveurs d'autorisation peuvent être configurés pour utiliser des groupes ONTAP pour l'autorisation. Si les définitions ONTAP locales sont examinées mais qu'aucune décision d'accès ne peut être prise, les groupes Active Directory (« domaine ») ou LDAP (« nsswitch ») sont utilisés. Les informations de groupe peuvent être spécifiées de deux manières :

  • Chaîne de portée OAuth 2.0

    Prend en charge les applications confidentielles en utilisant le flux d'informations d'identification du client lorsqu'aucun utilisateur n'est membre d'un groupe. Le périmètre doit être nommé ontap-group-<URL-encoded-ONTAP-group-name>. Par exemple, si le groupe est « développement », la chaîne de portée sera « ontap-groupe-développement ».

  • Dans la réclamation « Groupe »

    Ceci est destiné aux jetons d'accès émis par ADFS à l'aide du flux propriétaire de la ressource (mot de passe Grant).

Voir "Utilisation des groupes" pour plus d'informations.