Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPでのOAuth 2.0の導入

共同作成者 netapp-aaron-holt dmp-netapp netapp-dbagwell netapp-aherbin
PDF

OAuth 2.0のコア機能の導入には、主に3つの手順があります。

開始する前に

ONTAPを設定する前に、OAuth 2.0の導入準備を行う必要があります。例えば、証明書の署名方法やファイアウォールの背後にあるかどうかなど、認可サーバを評価する必要があります。詳細については、"ONTAPでのOAuth 2.0の導入準備"をご覧ください。

ステップ1:認証サーバーのルートCA証明書をインストールする

ONTAPには、豊富なルートCA証明書が事前にインストールされています。そのため多くの場合、許可サーバの証明書は、追加の設定をしなくてもONTAPによってすぐに認識されます。ただし、許可サーバ証明書の署名方法によっては、ルートCA証明書と中間証明書のインストールが必要になる場合があります。

必要な場合は、次の手順に従って証明書をインストールします。必要な証明書は、すべてクラスタ レベルでインストールする必要があります。

ONTAPへのアクセス方法に対応した手順に従ってください。

例 1. 手順
System Manager

  1. System Managerで、クラスター > *設定*を選択します。

  2. *セキュリティ*セクションまで下にスクロールします。

  3. 証明書*の横にある→*をクリックします。

  4. *信頼された証明機関*タブで*追加*をクリックします。

  5. *Import*をクリックし、証明書ファイルを選択します。

  6. 環境に合わせて、パラメータの設定を完了します。

  7. *[追加]*をクリックします。

CLI

  1. インストールを開始します。

    security certificate install -type server-ca

  2. 次のコンソール メッセージを探します。

    Please enter Certificate: Press <Enter> when done

  3. テキスト エディタで証明書ファイルを開きます。

  4. 次の行を含めて、証明書全体をコピーします。

    -----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

  5. コマンド プロンプトの末尾に証明書を貼り付けます。

  6. Enter を押してインストールを完了します。

  7. 次のいずれかを使用して、証明書がインストールされたことを確認します。

    security certificate show-user-installed

    security certificate show

ステップ2:認可サーバーを構成する

ONTAPに少なくとも1つの認証サーバーを定義する必要があります。パラメータ値は、設定と導入計画に基づいて選択してください。"OAuth2の導入シナリオ"を確認して、設定に必要な正確なパラメータを決定してください。

ヒント 許可サーバの定義を変更するために、既存の定義を削除して新しい定義を作成することもできます。

以下に示す例は、"ローカル検証"の最初の単純なデプロイメントシナリオに基づいています。自己完結型スコープはプロキシなしで使用されます。

ONTAPへのアクセス方法に対応した手順に従ってください。CLIの手順では記号変数が使われているので、コマンドを実行する前に置き換える必要があります。

例 2. 手順
System Manager

  1. System Managerで、クラスター > *設定*を選択します。

  2. *セキュリティ*セクションまで下にスクロールします。

  3. OAuth 2.0 authorization*の横にある+*をクリックします。

  4. *その他のオプション*を選択します。

  5. 環境に必要な値を指定します。例は次のとおりです。

    • Name

    • Application(http)

    • Provider JWKS URI

    • Issuer URI

  6. *[追加]*をクリックします。

CLI

  1. 改めて定義を作成します。

    security oauth2 client create -config-name <NAME> -provider-jwks-uri <URI_JWKS> -application http -issuer <URI_ISSUER>

    例:

    security oauth2 client create \
-config-name auth0 \
-provider-jwks-uri https://superzap.dev.netapp.com:8443/realms/my-realm/protocol/openid-connect/certs \
-application http \
-issuer https://superzap.dev.netapp.com:8443/realms/my-realm
    `security oauth2 client create`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-oauth2-client-create.html["ONTAPコマンド リファレンス"^]をご覧ください。

ステップ3:OAuth 2.0を有効にする

最後に、OAuth 2.0を有効にします。これはONTAPクラスタのグローバル設定です。

注意 ONTAP、許可サーバ、サポート サービスがすべて正しく設定されていることを確認できるまで、OAuth 2.0の処理を有効にしないでください。

ONTAPへのアクセス方法に対応した手順に従ってください。

例 3. 手順
System Manager

  1. System Managerで、クラスター > *設定*を選択します。

  2. *Security セクション*まで下にスクロールします。

  3. OAuth 2.0 authorization*の横にある→*をクリックします。

  4. OAuth 2.0 認証 を有効にします。

CLI

  1. OAuth.2.0を有効にします。

    security oauth2 modify -enabled true

  2. OAuth 2.0が有効になっていることを確認します。

    security oauth2 show
Is OAuth 2.0 Enabled: true
関連情報