Note di rilascio
Opzioni per l'autorizzazione client ONTAP
Suggerisci modifiche
-
PDF del sito di questa documentazione
-
Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
-
Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
-
-
Gestione dello storage NAS
-
Configurare NFS con la CLI
-
Gestisci NFS con la CLI
-
Gestire SMB con la CLI
-
Gestire i server SMB
-
Gestire l'accesso ai file utilizzando SMB
-
-
-
Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
-
Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
-
-
Protezione dei dati e disaster recovery
-
Raccolta di documenti PDF separati
Creating your file...
Sono disponibili diverse opzioni per personalizzare l'autorizzazione del client ONTAP. Le decisioni di autorizzazione si basano, in ultima analisi, sui ruoli REST ONTAP contenuti o derivati dai token di accesso.
|
È possibile utilizzare solo "Ruoli REST di ONTAP" Quando si configura l'autorizzazione per OAuth 2,0. I ruoli tradizionali ONTAP precedenti non sono supportati. |
Introduzione
L'implementazione di OAuth 2,0 all'interno di ONTAP è progettata per essere flessibile e robusta, fornendo le opzioni necessarie per proteggere l'ambiente ONTAP. A un livello elevato, esistono tre categorie di configurazione principali per la definizione dell'autorizzazione del client ONTAP. Queste opzioni di configurazione si escludono a vicenda.
ONTAP applica la singola opzione più appropriata in base alla configurazione scelta. Vedere "Modalità con cui ONTAP determina l'accesso" Per ulteriori informazioni su come ONTAP elabora le definizioni di configurazione per prendere decisioni sugli accessi.
Questi ambiti contengono uno o più ruoli REST personalizzati, ciascuno incapsulato in una singola stringa. Sono indipendenti dalle definizioni dei ruoli ONTAP. È necessario definire queste stringhe di ambito nel server di autorizzazione.
In base alla configurazione, è possibile utilizzare le definizioni di identità ONTAP locali per prendere decisioni di accesso. Le opzioni includono:
-
Singolo ruolo REST denominato
-
Corrispondenza del nome utente con un utente ONTAP locale
La sintassi dell'ambito per un ruolo denominato è ontap-role-<URL-encoded-ONTAP-role-name>. Ad esempio, se il ruolo è "admin" la stringa dell'ambito sarà "ontap-role-admin".
Se vengono esaminate le definizioni ONTAP locali ma non è possibile prendere alcuna decisione di accesso, vengono utilizzati i gruppi Active Directory ("dominio") o LDAP ("nsswitch"). Le informazioni sul gruppo possono essere specificate in due modi:
-
Stringa OAuth 2,0 Scope
Supporta le applicazioni riservate utilizzando il flusso di credenziali client in cui non vi è alcun utente con appartenenza a un gruppo. L'ambito deve essere denominato ontap-group-<URL-encoded-ONTAP-group-name>. Ad esempio, se il gruppo è "sviluppo" la stringa dell'ambito sarà "ontap-group-development".
-
Nella richiesta di "gruppo"
Questa funzione è destinata ai token di accesso emessi da ADFS utilizzando il flusso proprietario della risorsa (concessione password).
Oscilloscopi OAuth 2,0 autonomi
Gli scope autonomi sono stringhe trasportate nel token di accesso. Ognuno di essi costituisce una definizione completa e personalizzata del ruolo e include tutto ciò che ONTAP ha bisogno per prendere una decisione di accesso. L'ambito è separato e distinto dai ruoli REST definiti all'interno di ONTAP stesso.
Formato della stringa Scope
A livello base, l'ambito è rappresentato come una stringa contigua e composta da sei valori separati da due punti. I parametri utilizzati nella stringa Scope sono descritti di seguito.
Letterale di ONTAP
L'ambito deve iniziare con il valore letterale ontap in minuscolo. Questo identifica l'ambito come specifico di ONTAP.
Cluster
Definisce il cluster ONTAP a cui si applica l'ambito. I valori possono includere:
-
UUID cluster
Identificazione di un singolo cluster.
-
Asterisco (*)
Indica che l'ambito si applica a tutti i cluster.
È possibile utilizzare il comando CLI di ONTAP cluster identity show Per visualizzare l'UUID del cluster. Se non specificato, l'ambito si applica a tutti i cluster.
Ruolo
Il nome del ruolo di RIPOSO contenuto nell'ambito autonomo. Questo valore non viene esaminato da ONTAP o abbinato a ruoli REST esistenti definiti in ONTAP. Il nome viene utilizzato per la registrazione.
Livello di accesso
Questo valore indica il livello di accesso applicato all'applicazione client quando si utilizza l'endpoint API nell'ambito. Sono disponibili sei valori, come descritto nella tabella seguente.
| Livello di accesso | Descrizione |
|---|---|
nessuno |
Nega tutti gli accessi all'endpoint specificato. |
readonly |
Consente solo l'accesso in lettura utilizzando GET. |
read_create |
Consente l'accesso in lettura e la creazione di nuove istanze di risorse utilizzando POST. |
read_modify |
Consente l'accesso in lettura e la possibilità di aggiornare le risorse esistenti utilizzando PATCH. |
read_create_modify |
Consente tutti gli accessi ad eccezione dell'eliminazione. Le operazioni consentite includono GET (lettura), POST (creazione) e PATCH (aggiornamento). |
tutto |
Consente l'accesso completo. |
SVM
Nome della SVM all'interno del cluster a cui si applica l'ambito. Utilizzare il valore * (asterisco) per indicare tutte le SVM.
|
|
Questa funzione non è completamente supportata con ONTAP 9.14.1. È possibile ignorare il parametro SVM e utilizzare un asterisco come segnaposto. Esaminare "Note di rilascio di ONTAP" Per verificare il supporto SVM futuro. |
URI API REST
Percorso completo o parziale di una risorsa o di una serie di risorse correlate. La stringa deve iniziare con /api. Se non si specifica un valore, l'ambito si applica a tutti gli endpoint API nel cluster ONTAP.
Esempi di ambito
Di seguito sono riportati alcuni esempi di ambiti auto-contenuti.
- ontap:*:joes-role:read_create_modify:*:/api/cluster
-
Fornisce all'utente assegnato a questo ruolo l'accesso di lettura, creazione e modifica al
/clusterendpoint.
Strumento di amministrazione CLI
Per rendere più semplice e meno incline agli errori l'amministrazione degli ambiti autonomi, ONTAP fornisce il comando CLI security oauth2 scope per generare stringhe di ambito in base ai parametri di input.
Il comando security oauth2 scope ha due casi d'utilizzo sulla base delle tue indicazioni:
-
Parametri CLI per la stringa di ambito
È possibile utilizzare questa versione del comando per generare una stringa di ambito in base ai parametri di input.
-
Stringa di ambito per i parametri CLI
È possibile utilizzare questa versione del comando per generare i parametri del comando in base alla stringa dell'ambito di input.
Nell'esempio seguente viene generata una stringa di scope con l'output incluso dopo l'esempio di comando riportato di seguito. La definizione si applica a tutti i cluster.
security oauth2 scope cli-to-scope -role joes-role -access readonly -api /api/clusterontap:*:joes-role:readonly:*:/api/cluster
Modalità con cui ONTAP determina l'accesso
Per progettare e implementare correttamente OAuth 2,0, è necessario comprendere in che modo la configurazione delle autorizzazioni viene utilizzata da ONTAP per prendere decisioni di accesso per i client.
Se il token di accesso contiene ambiti indipendenti, ONTAP esamina prima tali ambiti. Se non sono presenti oscilloscopi autonomi, passare al punto 2.
Con uno o più ambiti auto-contenuti presenti, ONTAP applica ogni ambito fino a quando non può essere presa una decisione esplicita ALLOW o DENY. Se viene presa una decisione esplicita, l'elaborazione termina.
Se ONTAP non è in grado di prendere una decisione di accesso esplicita, continuare con il passaggio 2.
ONTAP esamina il valore del flag use-local-roles-if-present. Il valore di questo indicatore viene impostato separatamente per ogni server di autorizzazione definito su ONTAP.
-
Se il valore è
truepassare alla fase 3. -
Se il valore è
falsel'elaborazione termina e l'accesso è negato.
Se il token di accesso contiene un ruolo REST denominato, ONTAP utilizza il ruolo per prendere la decisione di accesso. Ciò comporta sempre una decisione ALLOW o DENY e l'elaborazione termina.
Se non è presente alcun ruolo REST denominato o se il ruolo non è stato trovato, passare al punto 4.
Estrarre il nome utente dal token di accesso e tentare di associarlo a un utente ONTAP locale.
Se un utente ONTAP locale viene associato, ONTAP utilizza il ruolo definito per l'utente per prendere una decisione di accesso. Ciò comporta sempre una decisione ALLOW o DENY e l'elaborazione termina.
Se un utente ONTAP locale non corrisponde o se non è presente alcun nome utente nel token di accesso, passare al punto 5.
Estrarre il gruppo dal token di accesso e tentare di associarlo a un gruppo. I gruppi vengono definiti utilizzando Active Directory o un server LDAP equivalente.
Se esiste una corrispondenza di gruppo, ONTAP utilizza il ruolo definito per il gruppo per prendere una decisione di accesso. Ciò comporta sempre una decisione ALLOW o DENY e l'elaborazione termina.
Se non è presente alcuna corrispondenza di gruppo o se non è presente alcun gruppo nel token di accesso, l'accesso viene negato e l'elaborazione termina.