Scénarios de déploiement OAuth 2.0
Suggérer des modifications
PDF
Plusieurs options de configuration sont disponibles lors de la définition d'un serveur d'autorisation dans ONTAP. En fonction de ces options, vous pouvez définir un serveur d'autorisation approprié à votre environnement à l'aide de l'un des scénarios de déploiement suivants.
Résumé des paramètres de configuration
Plusieurs paramètres de configuration sont disponibles lors de la définition d'un serveur d'autorisation dans ONTAP. Ces paramètres sont généralement pris en charge dans toutes les interfaces administratives.
|
Le nom utilisé pour un paramètre ou un champ individuel peut varier en fonction de l'interface d'administration de ONTAP. Pour tenir compte des différences dans les interfaces administratives, un nom générique unique est utilisé pour chaque paramètre de la table. Le nom exact utilisé avec une interface spécifique doit être évident en fonction du contexte. |
| Paramètre | Description |
|---|---|
Nom |
Nom du serveur d'autorisation tel qu'il est connu de ONTAP. |
Client supplémentaire |
Application interne ONTAP à laquelle s'applique la définition. Ce doit être http. |
URI de l'émetteur |
Nom de domaine complet avec chemin identifiant le site ou l'organisation qui émet les jetons. |
URI du fournisseur JWKS |
Nom de domaine complet avec chemin et nom de fichier où ONTAP obtient les jeux de clés Web JSON utilisés pour valider les jetons d'accès. |
Intervalle de rafraîchissement JWKS |
Intervalle de temps déterminant la fréquence à laquelle ONTAP actualise les informations de certificat à partir de l'URI JWKS du fournisseur. La valeur est spécifiée au format ISO-8601. |
Point d'extrémité d'introspection |
Nom de domaine complet avec chemin utilisé par ONTAP pour effectuer la validation de jeton à distance via l'introspection. |
ID client |
Nom du client tel que défini sur le serveur d'autorisation. Lorsque cette valeur est incluse, vous devez également fournir le secret client associé en fonction de l'interface. |
Proxy sortant |
Cela permet d'accéder au serveur d'autorisation lorsque ONTAP se trouve derrière un pare-feu. L'URI doit être au format curl. |
Utilisez des rôles locaux, le cas échéant |
Indicateur booléen déterminant si les définitions ONTAP locales sont utilisées, y compris un rôle REST nommé et des utilisateurs locaux. |
Demande d'utilisateur à distance |
Autre nom utilisé par ONTAP pour correspondre aux utilisateurs locaux. Utilisez le |
Public |
Ce champ définit les points de terminaison où le jeton d'accès peut être utilisé. |
Scénarios de déploiement
Vous trouverez ci-dessous plusieurs scénarios de déploiement courants. Ils sont organisés selon que la validation des tokens est effectuée localement par ONTAP ou à distance par le serveur d'autorisation. Chaque scénario inclut une liste des options de configuration requises. Voir "Déployer OAuth 2.0 dans ONTAP" pour des exemples de commandes de configuration.
|
Après avoir défini un serveur d'autorisation, vous pouvez afficher sa configuration via l'interface d'administration ONTAP. Par exemple, utilisez la commande security oauth2 client show Via l'interface de ligne de commandes ONTAP.
|
Validation locale
Les scénarios de déploiement suivants sont basés sur l'exécution locale de la validation des jetons par ONTAP.
Il s'agit du déploiement le plus simple utilisant uniquement des oscilloscopes autonomes OAuth 2.0. Aucune définition d'identité ONTAP locale n'est utilisée. Vous devez inclure les paramètres suivants :
-
Nom
-
Application (http)
-
URI du fournisseur JWKS
-
URI de l'émetteur
Vous devez également ajouter les étendues au niveau du serveur d'autorisation.
Ce scénario de déploiement utilise les étendues autonomes OAuth 2.0. Aucune définition d'identité ONTAP locale n'est utilisée. Mais le serveur d'autorisation est derrière un pare-feu et vous devez donc configurer un proxy. Vous devez inclure les paramètres suivants :
-
Nom
-
Application (http)
-
URI du fournisseur JWKS
-
Proxy sortant
-
URI de l'émetteur
-
Public
Vous devez également ajouter les étendues au niveau du serveur d'autorisation.
Ce scénario de déploiement utilise des rôles d'utilisateur local avec un mappage de noms par défaut. Le sinistre utilisateur distant utilise la valeur par défaut de sub ce champ du jeton d'accès est donc utilisé pour correspondre au nom d'utilisateur local. Le nom d'utilisateur doit comporter au maximum 40 caractères. Le serveur d'autorisation se trouve derrière un pare-feu, vous devez donc également configurer un proxy. Vous devez inclure les paramètres suivants :
-
Nom
-
Application (http)
-
URI du fournisseur JWKS
-
Utilisez des rôles locaux, le cas échéant (
true) -
Proxy sortant
-
Émetteur
Vous devez vous assurer que l'utilisateur local est défini sur ONTAP.
Ce scénario de déploiement utilise des rôles d'utilisateur local avec un autre nom d'utilisateur qui est utilisé pour correspondre à un utilisateur ONTAP local. Le serveur d'autorisation est derrière un pare-feu, vous devez donc configurer un proxy. Vous devez inclure les paramètres suivants :
-
Nom
-
Application (http)
-
URI du fournisseur JWKS
-
Utilisez des rôles locaux, le cas échéant (
true) -
Demande d'utilisateur à distance
-
Proxy sortant
-
URI de l'émetteur
-
Public
Vous devez vous assurer que l'utilisateur local est défini sur ONTAP.
Introspection à distance
Les configurations de déploiement suivantes sont basées sur ONTAP qui effectue la validation des jetons à distance via l'introspection.
Il s'agit d'un déploiement simple basé sur l'utilisation des oscilloscopes autonomes OAuth 2.0. Aucune définition d'identité ONTAP n'est utilisée. Vous devez inclure les paramètres suivants :
-
Nom
-
Application (http)
-
Point d'extrémité d'introspection
-
ID client
-
URI de l'émetteur
Vous devez définir les étendues ainsi que le secret client et client sur le serveur d'autorisation.