ONTAPクライアント許可の概要とオプション
変更を提案
PDF
ONTAP OAuth 2.0の実装は、柔軟性と堅牢性を考慮して設計されており、ONTAP環境を保護するために必要な機能を提供します。同時に指定できない設定オプションがいくつかあります。承認の決定は、最終的には、OAuth 2.0アクセストークンに含まれるか、OAuth 2.0アクセストークンから派生したONTAP RESTロールに基づいて行われます。
|
OAuth 2.0の認可を設定する場合にのみ使用でき"ONTAP RESTロール"ます。以前のONTAPの従来のロールはサポートされていません。 |
ONTAPは、設定に基づいて、最も適切な1つの許可オプションを適用します。ONTAPによるクライアントアクセスの決定方法の詳細については、を参照してください"ONTAPニヨルアクセスノケツテイホウホウ"。
これらのスコープには、1つ以上のカスタムRESTロールが含まれており、それぞれがアクセストークン内の1つの文字列内にカプセル化されています。ONTAPロールの定義には依存しません。認可サーバでスコープ文字列を設定する必要があります。詳細については、を参照してください "自己完結型OAuth 2.0スコープ" 。
組み込みまたはカスタムの名前付きRESTロールを1つ使用できます。指定したロールのscope構文は、* ontap-role-*<URL-encoded-ONTAP-role-name>です。たとえば、ONTAPロールがスコープ文字列の場合、 admin`はになります `ontap-role-admin。
アプリケーション「http」へのアクセスで定義されたアクセストークン内のユーザー名を使用できます。ユーザは、定義された認証方式に基づいて、パスワード、ドメイン(Active Directory)、nsswitch(LDAP)の順にテストされます。
認可サーバは、認可にONTAPグループを使用するように設定できます。ローカルONTAPの定義を調べても、アクセスを決定できない場合は、Active Directory(「domain」)またはLDAP(「nsswitch」)グループが使用されます。グループ情報は、次の2つの方法のいずれかで指定できます。
-
OAuth 2.0スコープ文字列
グループメンバーシップを持つユーザがいない場合、クライアントのクレデンシャルフローを使用して機密アプリケーションをサポートします。スコープには* ontap-group-*<URL-encoded-ONTAP-group-name>という名前を付けます。たとえば、グループが「development」の場合、スコープ文字列は「ontap-group-development」になります。
-
「グループ」の主張
これは、リソース所有者(パスワード付与)フローを使用してADFSによって発行されるアクセストークンを対象としています。
詳細については、を参照してください "グループの操作" 。