ONTAP の AIDE に OpenID Connect を設定する
変更を提案
PDF
ONTAP クラスタ管理者は、ONTAP System Manager を使用して、AI Data Engine(AIDE)クラスタの OpenID Connect(OIDC)認証を設定できます。これにより、外部 ID プロバイダー(IdP)を介した安全で集中化されたログインが実現します。
|
AIDE Console にアクセスするには、OIDC を設定する必要があります。設定されている場合、すべての認証は OIDC を経由して行われます。OIDC が設定されていない場合、コンソールはすべてのユーザー(管理者、データエンジニア、データサイエンティスト)が利用できなくなります。OIDC が設定されていない場合、System Manager はローカル ONTAP 認証を使用します。 |
AIDEアクセスのOIDC設定については、以下の点に注意してください:
-
大まかに言うと、OIDCの設定は2つの主要なステップで構成されます。まず、System Managerを使用して基本設定を行う必要があります。その後、ONTAP CLIを使用して外部ロールマッピングを設定することでセットアップを完了できます。
-
既存の OIDC 構成を変更することはできません。変更が必要な場合は、まず構成を削除し、希望する設定で新しい構成を作成します。
-
OIDCを無効化または削除すると、System ManagerはローカルのONTAPユーザ認証に戻ります。
OIDCの概要
OpenID Connect(OIDC)は、OAuth 2.0 フレームワーク上に構築された認証プロトコルです。これは、主に認可に使用される OAuth 2.0 を拡張し、アイデンティティ レイヤーを追加します。OIDC では、認証イベントとユーザーの ID に関するクレームを含む JSON Web Token(JWT)である ID トークンの概念が導入されています。
AFXでAIDEとともにサポートされている外部IDプロバイダー(IdP)を選択して設定する必要があります。IdPはユーザーを認証し、AFXがSystem Managerを介してAIDE Consoleへのアクセスを許可するために使用できるトークンを発行します。
サードパーティの ID プロバイダを設定する
OIDCを使用して認証を行うには、まず外部のIdPを設定する必要があります。ONTAPのOIDCの実装では、トークン内のロールクレームを使用してRBACを強制します。IdPを設定する際は、IDトークンとアクセストークンにロールクレームが含まれるように設定されていることを確認してください。ONTAPは、OIDC認証用に2つのIdPsをサポートしています(Entra IDおよびActive Directory Federation Services(ADFS))。
Entra ID
Entra IDは以下の概要手順を使用して設定できます:
-
Entra ID 設定ページで新しいアプリ登録を作成します。
-
リダイレクトURI(Web)の値を `\https://$CLUSTER_MGMT_IP/oidc/callback`に設定します。適切なクラスタ管理IPアドレスまたはFQDNに置き換えてください。
-
「アプリ ロール」で必要なロールを作成し、ユーザに割り当てます。
-
Token Configuration のトークンクレームを更新して、id-token と access-token でロールを返すようにします。
https://learn.microsoft.com/en-us/power-pages/security/authentication/openid-settings["Entra IDでOpenID Connectプロバイダを設定する"^]詳細については、こちらを参照してください。
Active Directoryフェデレーション サービス
AD FS は次の概要手順を使用して設定できます。
-
新しい Application Group を作成し、* Server application accessing a web API * を選択します。
-
リダイレクトURI(Web)の値を `\https://$CLUSTER_MGMT_IP/oidc/callback`に設定します。適切なクラスタ管理IPアドレスまたはFQDNに置き換えてください。
-
トークン内のロールを返すようにクレームを設定します。
https://learn.microsoft.com/en-us/azure/active-directory-b2c/identity-provider-adfs?pivots=b2c-user-flow["AD FS を OpenID Connect ID プロバイダとして追加する"^]詳細については、こちらを参照してください。
System ManagerでOIDCを設定する
IdP を設定した後、System Manager で OIDC 認証を設定して、AIDE Console への安全なアクセスを有効にできます。
|
メタデータURIを指定することで、System ManagerのOIDC構成フィールドを自動的に入力できます。正確なURI形式については、ご利用のIdPのドキュメントをご確認ください。 |
-
System Manager への管理者アクセス権が必要です。
-
OIDC ID プロバイダを設定し、アクセスできるようにする必要があります。
-
System Manager で、* Cluster * を選択し、次に * Settings * を選択して、OpenID Connect カードを見つけます。
-
OIDC がすでに構成されている場合は、構成を編集または無効にすることができます。OIDC が設定されていない場合は、
を選択してセットアッププロセスを開始します。 -
OpenID Connect の設定で、次のフィールドに値を入力します。
-
プロバイダ
-
Issuer
-
JSON Web キーセット URI
-
認可エンドポイント
-
トークンエンドポイント
-
セッション終了エンドポイント
-
アクセストークン発行者(オプション)
-
-
[クライアント構成]で、次のフィールドに値を入力します:
-
クライアント ID
-
Remote user claim
-
更新間隔
-
-
「接続の詳細」で、次のフィールドに値を入力します:
-
クラスタ IP アドレスまたは FQDN
-
送信プロキシ(オプション)
-
-
外部ロールマッピングで、既存のロールマッピングを選択するか、ONTAP `admin`ユーザの新しいロールを定義します。
-
*今すぐ有効にする*を選択し、*保存*を選択します。System Managerが更新され、新しい認証設定が適用されます。
-
IdP クレデンシャルを使用してログインします。認証が成功すると、System Manager に戻ります。
外部ロールマッピングを設定して、OIDC のセットアップを完了します。
CLIを使用して外部ロールマッピングを設定する
外部ロールマッピングは、外部 IdP ロールを対応する ONTAP ロールにマッピングできる ONTAP 機能です。OIDC を介して認証するユーザーに ONTAP で適切な RBAC 権限が付与されるように、このマッピングを構成する必要があります。
このタスクは、データエンジニアとデータサイエンティストを対応するONTAPロールにマッピングします。ご使用の環境に合わせて、コマンド例を適切なロール名に更新する必要があります。System Managerでの基本的なOIDC設定時に、ストレージ管理者ロールをONTAP `admin`ロールに既にマッピングしている必要があることに注意してください。
-
SSHを使用して、管理者権限を持つアカウントでONTAP CLIにサインインします。
-
データエンジニアロールのロールマッピングを設定します。例:
security login external-role-mapping create -external-role dataEngineer -provider entra -ontap-role data-engineer -
データサイエンティストロールのロールマッピングを設定します。例:
security login external-role-mapping create -external-role dataScientist -provider entra -ontap-role data-scientist