ONTAPクライアント許可の概要とオプション
変更を提案
PDF
ONTAP OAuth 2.0の実装は、柔軟性と堅牢性を考慮した設計になっていて、ONTAP環境の保護に必要な機能を提供します。これには、同時に指定できない設定オプションがいくつかあります。許可の決定は、最終的にはOAuth 2.0のアクセス トークンに含まれている、またはアクセス トークンから導き出されたONTAP RESTロールに基づいて行われます。
|
OAuth 2.0の認証を設定する場合にのみ"ONTAP RESTロール"を使用できます。以前のONTAPの従来のロールはサポートされていません。 |
ONTAPは、設定に基づいて最も適切な単一の認証オプションを適用します。ONTAPがクライアントアクセスを決定する方法の詳細については、"ONTAPによるアクセスの制御方法"を参照してください。
これらのスコープには、1つ以上のカスタムRESTロールが含まれており、それぞれがアクセストークン内の単一の文字列にカプセル化されています。これらはONTAPロール定義とは独立しています。スコープ文字列は認可サーバで設定する必要があります。詳細については、"自己完結型OAuth 2.0スコープ"を参照してください。
組み込みまたはカスタムの単一の名前付きRESTロールを使用できます。名前付きロールのスコープ構文は ontap-role-<URL-encoded-ONTAP-role-name>です。例えば、ONTAPロールが `admin`の場合、スコープ文字列は `ontap-role-admin`になります。
アプリケーション「http」へのアクセスが定義されたアクセス トークン内のユーザ名を使用できます。ユーザは、定義された認証方法に基づいて、password、domain(Active Directory)、nsswitch(LDAP)の順にテストされます。
許可にONTAPグループを使用するように許可サーバを設定できます。ローカルONTAPの定義を調べてもアクセスの可否を判定できない場合は、Active Directory(「domain」)グループかLDAP(「nsswitch」)グループが使用されます。グループ情報は、次の2つの方法のいずれかで指定できます。
-
OAuth 2.0のスコープ文字列
グループメンバーシップを持つユーザーが存在しないクライアント資格情報フローを使用した機密アプリケーションをサポートします。スコープ名は ontap-group-<URL-encoded-ONTAP-group-name> とする必要があります。例えば、グループが「development」の場合、スコープ文字列は「ontap-group-development」になります。
-
「グループ」のクレーム
これは、リソース オーナー(パスワード グラント)フローを使用してADFSによって発行されるアクセス トークンが対象です。
詳細については、"ONTAP で OAuth 2.0 または SAML IdP グループを使用する"を参照してください。