Skip to main content
AI Data Engine
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Autenticazione e autorizzazione per l'AIDE REST API

Collaboratori dmp-netapp netapp-dbagwell
PDF

Prima di utilizzare l'ONTAP REST API con le estensioni AIDE, è necessario comprendere le opzioni di autenticazione e autorizzazione.

Opzioni di autenticazione dell'API REST di ONTAP

L'API REST di ONTAP supporta due tecniche di autenticazione principali.

autenticazione di base

L'autenticazione di base è una tecnica semplice definita come parte del protocollo HTTP. Con l'autenticazione di base, si forniscono un nome utente e una password (combinati e codificati in base64) nell'intestazione Authorization delle chiamate API. Non è consigliata per l'utilizzo con l'AIDE REST API, ma può comunque essere utilizzata con le chiamate API ONTAP esistenti.

Autenticazione OAuth 2.0

A partire dalla versione 9.14.1, ONTAP supporta anche OAuth 2.0. Si tratta di un framework di autenticazione più sicuro e flessibile. Quando si utilizza OAuth 2.0, è necessario richiedere un token di accesso a un provider di identità (IdP) esterno e includerlo in ogni richiesta HTTP.

AI Data Engine e OpenID Connect

OpenID Connect (OIDC) si basa su OAuth 2.0 e offre un'opzione sicura e standardizzata per l'autenticazione di utenti e applicazioni. OIDC è necessario per accedere alla funzionalità AIDE e ai relativi servizi del nodo di elaborazione dati. Dopo che "Configura OpenID Connect per AIDE in ONTAP", l'accesso a ONTAP System Manager e alla pagina Swagger on-box sono protetti dall'autenticazione OIDC.

Nell'ambito della configurazione di OIDC in ONTAP System Manager, OAuth 2.0 viene abilitato automaticamente e viene creato un client OAuth 2.0. È quindi possibile ottenere un token di accesso tramite il token_endpoint del proprio IdP, che in genere può essere determinato dall'URI dei metadati dell'IdP. I token di accesso devono essere inclusi nell'intestazione Authorization delle chiamate API per autenticare e autorizzare l'accesso alle risorse AIDE.

Miglioramenti all'implementazione di ONTAP RBAC

L'accesso all'API REST di AIDE è protetto utilizzando il framework di controllo degli accessi basato sui ruoli (RBAC) di ONTAP. Gli utenti devono avere i ruoli e i privilegi appropriati assegnati in ONTAP per accedere alle risorse di AIDE ed eseguire operazioni tramite l'API REST.

Sono disponibili due ruoli ONTAP aggiuntivi a supporto di AIDE. I ruoli esterni equivalenti definiti presso il tuo IdP devono essere mappati a questi ruoli ONTAP per fornire l'accesso necessario alle risorse di AIDE.

Nota Oltre ai due nuovi ruoli ONTAP, è necessario anche mappare il ruolo di amministratore dello storage esterno al ruolo ONTAP admin esistente. Consultare "Componenti di AI Data Engine e interazioni in base al ruolo" e "Configura OpenID Connect per AIDE in ONTAP" per ulteriori informazioni.
ingegnere dei dati

Si tratta di un ruolo amministrativo ONTAP predefinito per l'AIDE Data Engineer. Limita l'accesso solo agli endpoint e alle corrispondenti directory dei comandi CLI necessari per eseguire le attività di data engineering di AIDE, tra cui lavorare con workspaces e data collections, visualizzare i jobs e utilizzare la file preview laddove consentito.

scienziato dei dati

Si tratta di un secondo ruolo amministrativo ONTAP predefinito per l'AIDE Data Scientist. Anche in questo caso, l'accesso è limitato esclusivamente alle API REST e alle corrispondenti directory dei comandi CLI necessarie per i flussi di lavoro dell'AIDE Data Scientist.

Ottieni un token di accesso

È necessario ottenere un token di accesso da utilizzare con la chiamata API REST. La richiesta del token viene eseguita al di fuori di ONTAP e la procedura esatta dipende dal server di autorizzazione e dalla sua configurazione. È possibile richiedere il token tramite un browser web, con un comando curl o utilizzando un linguaggio di programmazione. A scopo illustrativo, viene presentato un esempio di come richiedere un token di accesso da Microsoft Entra ID utilizzando curl.

Prima di iniziare

Nota quanto segue:

  • È necessario "Configura OpenID Connect per AIDE in ONTAP" per un cluster abilitato AIDE.

  • Determina l `token_endpoint`del tuo IdP, solitamente disponibile tramite l'URI dei metadati OIDC.

  • Individua i valori appropriati per la configurazione, come CLIENT_ID, in base al tuo IdP.

  • I parametri di configurazione come TENANT_ID, CLIENT_ID e CLIENT_SECRET sono in formato UUID. USERNAME e PASSWORD sono credenziali in testo semplice.

  • È possibile definire facoltativamente i valori delle variabili nella shell Bash da utilizzare con il comando curl.

Passaggi

  1. Esegui il seguente comando nella riga di comando della tua workstation locale, fornendo i valori per le variabili in base al tuo ambiente:

    curl --location "https://login.microsoftonline.com/$TENANT_ID/oauth2/v2.0/token" \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode "grant_type=password" \
--data-urlencode "client_id=$CLIENT_ID" \
--data-urlencode "client_secret=$CLIENT_SECRET" \
--data-urlencode "scope=$SCOPE/.default" \
--data-urlencode "username=$USERNAME" \
--data-urlencode "password=$PASSWORD"

  2. Esamina la risposta ed estrai il token di accesso da utilizzare in una chiamata API REST.

Informazioni correlate