Skip to main content
AI Data Engine
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configura OpenID Connect per AIDE in ONTAP

Collaboratori dmp-netapp netapp-dbagwell netapp-bhouser
PDF

In qualità di amministratore del cluster ONTAP, puoi utilizzare ONTAP System Manager per configurare l'autenticazione OpenID Connect (OIDC) per un cluster AI Data Engine (AIDE). Ciò fornisce un accesso sicuro e centralizzato tramite un provider di identità (IdP) esterno.

Avvertenza È necessario configurare OIDC per accedere alla AIDE Console. Quando è configurato, tutta l'autenticazione passa attraverso OIDC. Se OIDC non è configurato, la console non sarà disponibile né per gli amministratori né per i data engineer e i data scientist. In questo caso, l'accesso a System Manager torna all'autenticazione locale.

Si noti inoltre quanto segue sulla configurazione OIDC per l'accesso AIDE:

  • A grandi linee, la configurazione OIDC si compone di due fasi principali. Innanzitutto, è necessario eseguire la configurazione OIDC di base tramite System Manager. È quindi possibile completare la configurazione mappando i ruoli esterni utilizzando la CLI di ONTAP.

  • Non è possibile modificare una configurazione OIDC esistente. Se è necessario apportare una modifica, eliminare prima la configurazione e crearne una nuova con le impostazioni desiderate.

  • Se si disabilita o si rimuove OIDC, System Manager tornerà all'autenticazione utente locale ONTAP.

Panoramica di OIDC

OpenID Connect (OIDC) è un protocollo di autenticazione basato sul framework OAuth 2.0. Estende OAuth 2.0, utilizzato principalmente per l'autorizzazione, aggiungendo un livello di identità. OIDC introduce il concetto di ID token, che è un JSON Web Token (JWT) contenente claim sull'evento di autenticazione e sull'identità dell'utente.

È necessario selezionare e configurare un provider di identità esterno (IdP) supportato da AFX con AIDE. L'IdP autentica gli utenti ed emette token che AFX, tramite System Manager, può utilizzare per concedere l'accesso alla AIDE Console.

Configura i provider di identità di terze parti

Per autenticarsi tramite OIDC, è necessario innanzitutto configurare un IdP esterno. L'implementazione ONTAP di OIDC utilizza le attestazioni di ruolo nei token per applicare il RBAC. Quando si configura un IdP, assicurarsi che sia configurato per restituire le attestazioni di ruolo nel token id e nel token di accesso. ONTAP supporta due IdPs per l'autenticazione OIDC: Entra ID e Active Directory Federation Services (AD FS).

Entra ID

È possibile configurare Entra ID utilizzando i seguenti passaggi high-level:

  1. Crea una nuova App Registration nella pagina di configurazione di Entra ID.

  2. Impostare il valore Redirect URI (Web) su https://$CLUSTER_MGMT_IP/oidc/callback, sostituendo l'indirizzo IP di gestione del cluster appropriato o il FQDN.

  3. Crea i ruoli richiesti in App Roles e assegnali ai tuoi utenti.

  4. Aggiorna le richieste del token in Token Configuration per restituire i ruoli in id-token e access-token.

Vedi "Configura un provider OpenID Connect con Entra ID" per maggiori informazioni.

Active Directory Federation Services

È possibile configurare AD FS utilizzando i seguenti high-level passaggi:

  1. Crea un nuovo Application Group e seleziona Server application accessing a web API.

  2. Impostare il valore Redirect URI (Web) su https://$CLUSTER_MGMT_IP/oidc/callback, sostituendo l'indirizzo IP di gestione del cluster appropriato o il FQDN.

  3. Configura le attestazioni per restituire i ruoli nei token.

Vedi "Aggiungi AD FS come provider di identità OpenID Connect" per maggiori informazioni.

Configura OIDC in System Manager

Dopo aver configurato il tuo IdP, puoi impostare l'autenticazione OIDC in System Manager per abilitare l'accesso sicuro alla AIDE Console.

Suggerimento È possibile fornire l'URI dei metadati per popolare automaticamente i campi di configurazione OIDC in System Manager. Consultare la documentazione del proprio IdP per ottenere il formato URI esatto.
Prima di iniziare

  • È necessario disporre dell'accesso come amministratore a System Manager.

  • Il tuo provider di identità OIDC deve essere configurato e accessibile.

Passaggi

  1. In System Manager, seleziona Cluster e poi Settings; individua la scheda OpenID Connect.

  2. Se OIDC è già configurato, è possibile modificare o disattivare la configurazione. Se OIDC non è configurato selezionare icona dell'ingranaggio per avviare il processo di configurazione.

  3. In Configura OpenID Connect, fornisci valori per i seguenti campi:

    • Fornitore

    • Emittente

    • URI del set di chiavi web JSON

    • Endpoint di autorizzazione

    • Endpoint del token

    • Endpoint di fine sessione

    • Emittente del token di accesso (opzionale)

  4. In Configurazione client, fornire valori per i seguenti campi:

    • ID client

    • Richiesta utente remoto

    • Intervallo di aggiornamento

  5. In Dettagli connessione, fornire valori per i seguenti campi:

    • Indirizzo IP del cluster o FQDN

    • proxy in uscita (facoltativo)

  6. In Mapping ruoli esterni, selezionare un mapping ruoli esistente o definire un nuovo ruolo per l'utente `admin`ONTAP.

  7. Selezionare Abilita ora e poi Salva. System Manager verrà aggiornato per applicare le nuove impostazioni di autenticazione.

  8. Accedi con le tue credenziali IdP; dopo l'autenticazione riuscita verrai restituito a System Manager.

Dopo aver finito

Completa la configurazione OIDC configurando la mappatura dei ruoli esterni.

Configura la mappatura dei ruoli esterni utilizzando la CLI

La mappatura dei ruoli esterni è una funzionalità di ONTAP che consente di associare i ruoli dell'IdP esterno ai corrispondenti ruoli ONTAP. È necessario configurare questa mappatura per garantire che agli utenti che si autenticano tramite OIDC vengano concesse le autorizzazioni RBAC appropriate in ONTAP.

Informazioni su questa attività

Questa attività associa l'ingegnere dei dati e lo scienziato dei dati ai corrispondenti ruoli ONTAP. È necessario aggiornare gli esempi di comando con i nomi dei ruoli appropriati in base al proprio ambiente. Si noti che si dovrebbe aver già associato il ruolo di amministratore dello storage al ruolo ONTAP admin durante la configurazione OIDC di base in System Manager.

Passaggi

  1. Tramite SSH, accedi alla CLI di ONTAP utilizzando un account con privilegi amministrativi.

  2. Configura la mappatura dei ruoli per il ruolo di data engineer; ad esempio:

    security login external-role-mapping create -external-role dataEngineer -provider entra -ontap-role data-engineer

  3. Configura la mappatura dei ruoli per il ruolo di data scientist; ad esempio:

    security login external-role-mapping create -external-role dataScientist -provider entra -ontap-role data-scientist

Informazioni correlate