アクセス トークンの発行に加えて、許可サーバは、関連する管理サービスも提供します。これは通常、Webユーザ インターフェイスを介して行われます。たとえば、次のようなことを定義したり管理したりできます。

ONTAPは、OAuth 2.0標準に準拠した許可サーバと互換性があります。

1台以上の許可サーバをONTAPに定義する必要があります。ONTAPは、各サーバとのセキュアな通信を通じてトークンを検証したり、その他の関連タスクを実行したりして、クライアント アプリケーションを支援します。

ONTAPの設定の主な側面を以下に示します。詳細については、"OAuth 2.0の導入シナリオ"も参照してください。

アクセス トークンの検証には、2つのオプションがあります。

ONTAPは、ファイアウォールの内側にある可能性があります。この場合は、設定の際にプロキシを指定する必要があります。

CLI、System Manager、REST API などの管理インターフェイスを使用して、ONTAP に認証サーバーを定義できます。例えば、CLI ではコマンド `security oauth2 client create`を使用します。

1つのONTAPクラスタに対して、最大8台の許可サーバを定義できます。発行者または発行者 / オーディエンスのクレームが一意である限り、同じ許可サーバを同じONTAPクラスタに複数回定義できます。たとえば、Keycloakで異なるRealmを使用する場合は、常にこれが該当します。

ONTAP 9.16.1では、OAuth 2.0の標準機能が拡張され、ネイティブのEntra IDグループ用のEntra ID固有の拡張機能が追加されています。これにより、アクセス トークンで名前の代わりにGUIDを使用できます。さらに、このリリースでは、アクセス トークンの「roles」フィールドを使用してネイティブ アイデンティティ プロバイダのロールをONTAPのロールにマッピングできる外部ロール マッピングのサポートが追加されています。

ONTAP 9.14.1以降では、次のOAuth 2.0の標準機能を通じて、以下を使用しているアプリケーションに対して許可サーバがサポートされます。

アクセス トークンは、REST APIを使用するONTAPクラスタに定義されている許可サーバから取得する必要があります。トークンを取得するには、許可サーバと直接やり取りする必要があります。

トークンを要求する方法は、次のようないくつかの要因によって異なります。

grant とは、OAuth 2.0 アクセストークンをリクエストおよび取得するために用いられる、ネットワークフローのセットを含む明確に定義されたプロセスです。クライアント、環境、セキュリティ要件に応じて、複数の異なるタイプの grant を使用できます。一般的な grant タイプのリストを下の表に示します。

OAuth 2.0アクセス トークンは、JWT形式です。そのコンテンツは、設定に基づいて許可サーバによって作成されます。ただし、クライアント アプリケーションはトークンを解読できません。クライアントには、トークンを検査したり、そのコンテンツを認識したりする理由がありません。

各JWTアクセス トークンには、一連のクレームが格納されています。クレームには、許可サーバの管理定義に基づいて発行者と許可の特性が記述されています。次の表は、標準に登録されているクレームの一部をまとめたものです。すべての文字列で、大文字と小文字が区別されます。

詳細については、 "RFC 7519：JSON Web Tokens"を参照してください。