Skip to main content
AI Data Engine
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configura OpenID Connect per AIDE in ONTAP

Collaboratori dmp-netapp netapp-bhouser netapp-dbagwell
PDF

In qualità di amministratore del cluster ONTAP, puoi utilizzare ONTAP System Manager per configurare l'autenticazione OpenID Connect (OIDC) per un cluster AI Data Engine (AIDE). Ciò fornisce un accesso sicuro e centralizzato tramite un provider di identità (IdP) esterno.

Avvertenza È necessario configurare OIDC per accedere all'AI Data Engine Console. Quando è configurato, tutta l'autenticazione avviene tramite OIDC. Se OIDC non è configurato, la console non sarà disponibile sia agli amministratori che ai data engineer e ai data scientist. In questo caso, l'accesso a System Manager torna all'autenticazione locale.

Si noti inoltre quanto segue sulla configurazione OIDC per l'accesso AIDE:

  • Non è possibile modificare una configurazione OIDC esistente. Se è necessario apportare una modifica, eliminare prima la configurazione e crearne una nuova con le impostazioni desiderate.

  • Se si disabilita o si rimuove OIDC, System Manager tornerà all'autenticazione utente locale ONTAP.

Panoramica di OIDC

OpenID Connect (OIDC) è un protocollo di autenticazione basato sul framework OAuth 2.0. Estende OAuth 2.0, utilizzato principalmente per l'autorizzazione, aggiungendo un livello di identità. OIDC introduce il concetto di ID token, che è un JSON Web Token (JWT) contenente claim sull'evento di autenticazione e sull'identità dell'utente.

È necessario selezionare e configurare un provider di identità esterno (IdP) supportato da AFX con AIDE. L'IdP autentica gli utenti e rilascia token che AFX, tramite System Manager, può utilizzare per concedere l'accesso alla AI Data Engine Console.

Configura i provider di identità di terze parti

Per autenticarsi tramite OIDC, è necessario innanzitutto configurare un IdP esterno. L'implementazione ONTAP di OIDC utilizza le attestazioni di ruolo nei token per applicare il RBAC. Quando si configura un IdP, assicurarsi che sia configurato per restituire le attestazioni di ruolo nel token id e nel token di accesso. ONTAP supporta due IdPs per l'autenticazione OIDC: Entra ID e Active Directory Federation Services (AD FS).

Entra ID

È possibile configurare Entra ID utilizzando i seguenti passaggi high-level:

  1. Crea una nuova App Registration nella pagina di configurazione di Entra ID.

  2. Impostare il valore Redirect URI (Web) su https://$CLUSTER_MGMT_IP/oidc/callback, sostituendo l'indirizzo IP di gestione del cluster appropriato o il FQDN.

  3. Crea i ruoli richiesti in App Roles e assegnali ai tuoi utenti.

  4. Aggiorna le richieste del token in Token Configuration per restituire i ruoli in id-token e access-token.

Vedi "Configura un provider OpenID Connect con Entra ID" per maggiori informazioni.

Active Directory Federation Services

È possibile configurare AD FS utilizzando i seguenti high-level passaggi:

  1. Crea un nuovo Application Group e seleziona Server application accessing a web API.

  2. Impostare il valore Redirect URI (Web) su https://$CLUSTER_MGMT_IP/oidc/callback, sostituendo l'indirizzo IP di gestione del cluster appropriato o il FQDN.

  3. Configura le attestazioni per restituire i ruoli nei token.

Vedi "Aggiungi AD FS come provider di identità OpenID Connect" per maggiori informazioni.

Configura OIDC in System Manager

Dopo aver configurato l'IdP, è possibile impostare l'autenticazione OIDC in System Manager per abilitare l'accesso sicuro alla AI Data Engine Console.

Prima di iniziare

  • È necessario disporre dell'accesso come amministratore a System Manager.

  • Il tuo provider di identità OIDC deve essere configurato e accessibile.

Passaggi

  1. In System Manager, seleziona Cluster e poi Settings; individua la scheda OpenID Connect.

  2. Se OIDC è già configurato, è possibile modificare o disattivare la configurazione. Se OIDC non è configurato selezionare icona dell'ingranaggio per avviare il processo di configurazione.

  3. In Configura OpenID Connect, fornisci valori per i seguenti campi:

    • Fornitore

    • Emittente

    • URI del set di chiavi web JSON

    • Endpoint di autorizzazione

    • Endpoint del token

    • Endpoint di fine sessione

    • Emittente del token di accesso (opzionale)

  4. In Configurazione client, fornire valori per i seguenti campi:

    • ID client

    • Richiesta utente remoto

    • Intervallo di aggiornamento

  5. In Dettagli connessione, fornire valori per i seguenti campi:

    • Indirizzo IP del cluster o FQDN

    • proxy in uscita (facoltativo)

  6. In Mapping ruoli esterni, selezionare un mapping ruoli esistente o definire un nuovo ruolo per l'utente `admin`ONTAP.

  7. Selezionare Abilita ora e poi Salva. System Manager verrà aggiornato per applicare le nuove impostazioni di autenticazione.

  8. Accedi con le tue credenziali IdP; dopo l'autenticazione riuscita verrai restituito a System Manager.

Informazioni correlate