Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPでのOAuth 2.0の導入

共同作成者
PDF

OAuth 2.0のコア機能の展開には、主に3つのステップがあります。

開始する前に

ONTAPを設定する前に、OAuth 2.0の展開を準備する必要があります。たとえば、証明書がどのように署名されたか、ファイアウォールの内側にあるかなど、承認サーバーを評価する必要があります。詳細については、を参照してください "ONTAPを使用したOAuth 2.0の導入準備"

手順1:認可サーバのルートCA証明書をインストールする

ONTAPには、多数のルートCA証明書が事前にインストールされています。そのため、多くの場合、認証サーバの証明書は追加の設定なしでONTAPによってすぐに認識されます。ただし、許可サーバ証明書の署名方法によっては、ルートCA証明書と中間証明書のインストールが必要になる場合があります。

必要に応じて、次の手順に従って証明書をインストールします。必要な証明書はすべてクラスタレベルでインストールする必要があります。

ONTAPへのアクセス方法に基づいて、正しい手順を選択します。

例 1. 手順
System Manager

  1. System Managerで、[クラスタ]>*[設定]*を選択します。

  2. [セキュリティ]*セクションまで下にスクロールします。

  3. の横にある→*をクリックします。

  4. タブで[追加]*をクリックします。

  5. [インポート]*をクリックし、証明書ファイルを選択します。

  6. 環境に合わせて設定パラメータを設定します。

  7. [追加]*をクリックします。

CLI

  1. インストールを開始します。

    security certificate install -type server-ca

  2. 次のコンソール メッセージを探します。

    Please enter Certificate: Press <Enter> when done

  3. テキスト エディタで証明書ファイルを開きます。

  4. 次の行を含めて、証明書全体をコピーします。

    -----BEGIN CERTIFICATE-----

    -----END CERTIFICATE-----

  5. コマンド プロンプトの末尾に証明書を貼り付けます。

  6. Enter*キーを押してインストールを完了します。

  7. 次のいずれかを使用して証明書がインストールされていることを確認します。

    security certificate show-user-installed

    security certificate show

手順2:認証サーバを設定する

ONTAPに対する認可サーバーを少なくとも1つ定義する必要があります。設定と導入計画に基づいてパラメータ値を選択する必要があります。を参照し"OAuth2導入シナリオ"て、構成に必要な正確なパラメータを特定します。

ヒント 認可サーバー定義を変更するには、既存の定義を削除して新しい定義を作成します。

次の例は、の最初の単純な導入シナリオに基づいて"ローカル検証"います。自己完結型スコープはプロキシなしで使用されます。

ONTAPへのアクセス方法に基づいて、正しい手順を選択します。CLIの手順では、コマンドを実行する前に置き換える必要があるシンボリック変数を使用します。

例 2. 手順
System Manager

  1. System Managerで、[クラスタ]>*[設定]*を選択します。

  2. [セキュリティ]*セクションまで下にスクロールします。

  3. * OAuth 2.0 authorization の横にある+*をクリックします。

  4. [その他のオプション]*を選択します。

  5. 導入に必要な値を次のように指定します。

    • 名前

    • アプリケーション(http)

    • プロバイダJWKS URI

    • 発行者URI

  6. [追加]*をクリックします。

CLI

  1. 定義を再作成します。

    security oauth2 client create -config-name <NAME> -provider-jwks-uri <URI_JWKS> -application http -issuer <URI_ISSUER>

    例:

    security oauth2 client create \
-config-name auth0 \
-provider-jwks-uri https://superzap.dev.netapp.com:8443/realms/my-realm/protocol/openid-connect/certs \
-application http \
-issuer https://superzap.dev.netapp.com:8443/realms/my-realm

手順3:OAuth 2.0を有効にする

最後のステップは、OAuth 2.0を有効にすることです。これはONTAPクラスタのグローバル設定です。

注意 ONTAP、認可サーバー、およびサポートサービスがすべて正しく設定されていることを確認するまで、OAuth 2.0の処理を有効にしないでください。

ONTAPへのアクセス方法に基づいて、正しい手順を選択します。

例 3. 手順
System Manager

  1. System Managerで、[クラスタ]>*[設定]*を選択します。

  2. [セキュリティ]セクション*まで下にスクロールします。

  3. * OAuth 2.0 authorization の横にある→*をクリックします。

  4. * OAuth 2.0認証*を有効にします。

CLI

  1. OAuth 2.0を有効にします。

    security oauth2 modify -enabled true

  2. OAuth 2.0が有効になっていることを確認します。

    security oauth2 show
Is OAuth 2.0 Enabled: true