Lavorare con i gruppi
Suggerisci modifiche
PDF
ONTAP fornisce diverse opzioni per la configurazione dei gruppi in base al server di autorizzazione. I gruppi possono quindi essere mappati a ruoli che vengono utilizzati da ONTAP per determinare l'accesso.
Come vengono identificati i gruppi
Quando si configura un gruppo in un server di autorizzazione, questo viene identificato e trasportato in un token di accesso OAuth 2,0 utilizzando un nome o UUID. È necessario conoscere il modo in cui il server di autorizzazione gestisce i gruppi prima di configurare ONTAP.
|
Se più gruppi sono inclusi in un token di accesso, ONTAP tenterà di utilizzare ciascuno di essi fino a quando non vi sarà una corrispondenza. |
Nomi dei gruppi
Molti server di autorizzazione identificano e rappresentano i gruppi utilizzando un nome. Di seguito è riportato un frammento di un token di accesso JSON generato da Active Directory Federation Service (ADFS) contenente diversi gruppi. Per ulteriori informazioni, vedere Gestire i gruppi con nomi .
...
"sub": "User1_TestDev@NICAD5.COM",
"group": [
"NICAD5\\Domain Users",
"NICAD5\\Development Group",
"NICAD5\\Production Group"
],
"apptype": "Confidential",
"appid": "3bff3b2b-8e40-44ba-7c11-d73c3b76e3e8",
...
UUID gruppo
Alcuni server di autorizzazione identificano e rappresentano i gruppi utilizzando un UUID. Ecco un frammento di un token di accesso JSON generato da Microsoft Entra ID contenente diversi gruppi. Per ulteriori informazioni, vedere Gestire i gruppi con UUID .
...
"appid": "4aff4b4b-8e40-44ba-7c11-d73c3b76e3d7",
"appidacr": "1",
"groups": [
"8ea4c5b0-bcad-4e66-8f1e-cd395474a448",
"a8558fc2-a1b2-4cb7-cc41-59bd831840cc"],
"name": "admin007 with group membership",
...
Gestire i gruppi con nomi
Se il server di autorizzazione utilizza i nomi per identificare i gruppi, è necessario assicurarsi che ogni gruppo sia definito su ONTAP. A seconda dell'ambiente di protezione in uso, il gruppo potrebbe essere già stato definito.
Ecco un esempio di comando CLI che definisce un gruppo a ONTAP. Si noti che sta utilizzando un gruppo denominato dal token di accesso di esempio. Per eseguire il comando, è necessario essere al livello di privilegi ONTAP admin.
security login create -user-or-group-name "NICAD5\\Domain Users" -application http -authentication-method domain -role admin
|
|
È inoltre possibile configurare questa funzione utilizzando l'API REST ONTAP. Per ulteriori informazioni, vedere "Documentazione sull'automazione di ONTAP" . |
Gestire i gruppi con UUID
Se il server di autorizzazione rappresenta gruppi che utilizzano valori UUID, è necessario eseguire una configurazione in due fasi prima di utilizzare un gruppo. A partire da ONTAP 9.16,1, sono disponibili due funzioni di mappatura che sono state testate con Microsoft Entra ID. Per eseguire i comandi CLI, è necessario essere al livello di privilegio admin di ONTAP.
|
|
È inoltre possibile configurare queste funzioni utilizzando l'API REST di ONTAP. Per ulteriori informazioni, vedere "Documentazione sull'automazione di ONTAP" . |
Mappare un UUID di gruppo a un nome di gruppo
Se si utilizza un server di autorizzazione che rappresenta gruppi che utilizzano valori UUID, è necessario associare gli UID del gruppo ai nomi del gruppo. Di seguito vengono descritte le operazioni principali della CLI di ONTAP.
Creare
È possibile definire una nuova configurazione di mappatura di gruppo con il security login group create comando. L'UUID e il nome del gruppo devono corrispondere alla configurazione del server di autorizzazione.
I parametri utilizzati per creare una mappatura di gruppo sono descritti di seguito.
| Parametro | Descrizione |
|---|---|
|
In alternativa, specifica il nome della SVM (vserver) a cui è associato il gruppo. Se omesso, il gruppo è associato al cluster ONTAP. |
|
Il nome univoco del gruppo utilizzato da ONTAP. |
|
Questo valore indica il provider di identità da cui proviene il gruppo. |
|
Specifica l'identificatore univoco universale del gruppo fornito dal server di autorizzazione. |
Ecco un esempio di comando CLI che definisce un gruppo a ONTAP. Si noti che sta utilizzando un gruppo UUID dal token di accesso di esempio.
security login group create -vserver ontap-cls-1 -name IAM_Dev -type entra -uuid 8ea4c5b0-bcad-4e66-8f1e-cd395474a448
Dopo aver creato il gruppo, viene generato un identificatore intero di sola lettura univoco per il gruppo.
Operazioni CLI aggiuntive
Il comando supporta diverse operazioni aggiuntive, tra cui:
-
Mostra
-
Modificare
-
Eliminare
È possibile utilizzare l' `show`opzione per recuperare l'ID gruppo univoco generato per un gruppo. Per ulteriori informazioni, consultare la documentazione di riferimento dei comandi ONTAP.
Mappare un UUID di gruppo a un ruolo
Se si utilizza un server di autorizzazione che rappresenta gruppi che utilizzano valori UUID, è possibile mappare il gruppo a un ruolo. Di seguito vengono descritte le operazioni principali della CLI di ONTAP. Inoltre, è necessario essere al livello di privilegio admin di ONTAP per eseguire i comandi.
|
|
È necessario innanzitutto Mappare un UUID di gruppo a un nome di grupporecuperare l'ID intero univoco generato per il gruppo. È necessario l'ID per mappare il gruppo a un ruolo. |
Creare
È possibile definire una nuova mappatura di ruoli con il security login group role-mapping create comando.
I parametri utilizzati per mappare un gruppo a un ruolo sono descritti di seguito.
| Parametro | Descrizione |
|---|---|
|
Specifica l'ID univoco generato per il gruppo utilizzando il comando |
|
Il nome del ruolo ONTAP a cui è mappato il gruppo. |
security login group role-mapping create -group-id 1 -role admin
Operazioni CLI aggiuntive
Il comando supporta diverse operazioni aggiuntive, tra cui:
-
Mostra
-
Modificare
-
Eliminare
Per ulteriori informazioni, consultare la documentazione di riferimento dei comandi ONTAP.