Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

OAuth 2.0の導入シナリオ

共同作成者
PDF

ONTAPに認可サーバーを定義するときに使用できる設定オプションはいくつかあります。これらのオプションに基づいて、展開環境に適した承認サーバーを作成できます。

設定パラメータの概要

ONTAPに認可サーバーを定義する際には、いくつかの設定パラメータを使用できます。これらのパラメータは、一般にすべての管理インターフェイスでサポートされています。

パラメータ名は、ONTAP管理インターフェイスによって多少異なります。たとえば、リモートイントロスペクションを設定する場合、エンドポイントはCLIコマンドパラメータを使用して識別されます。 -introspection-endpoint。ただし、System Managerでは、同等のフィールドは_AuthorizationサーバトークンイントロスペクションURI_です。すべてのONTAP管理インターフェイスに対応するために、パラメータの一般的な概要が用意されています。正確なパラメータまたはフィールドは、コンテキストに基づいて明確にする必要があります。

パラメータ 説明

名前

ONTAPで認識されている認可サーバの名前。

アプリケーション

ONTAP内部アプリケーション定義環境。これは* http *である必要があります。

発行者URI

トークンを発行するサイトまたは組織を識別するパスを持つFQDN。

プロバイダJWKS URI

ONTAPがアクセストークンの検証に使用するJSON Webキーセットを取得するパスとファイル名を含むFQDN。

JWKS更新間隔

ONTAPがプロバイダーJWKS URIから証明書情報を更新する頻度を決定する時間間隔。値はISO-8601形式で指定します。

イントロスペクションエンドポイント

ONTAPがイントロスペクションを通じてリモートトークン検証を実行するために使用するパスを持つFQDN。

クライアント ID

認可サーバで定義されているクライアントの名前。この値が含まれている場合は、インターフェイスに基づいて関連付けられたクライアントシークレットも指定する必要があります。

発信プロキシ

これは、ONTAPがファイアウォールの背後にある場合に、認可サーバへのアクセスを提供するためです。URIはcurl形式で指定する必要があります。

ローカルロールがある場合は使用

ローカルONTAP定義が使用されているかどうかを判断するブーリアンフラグ(名前付きRESTロールとローカルユーザを含む)。

ユーザ要求の削除

ONTAPがローカルユーザとの照合に使用する別名。を使用します sub ローカルユーザ名と一致するアクセストークンのフィールド。

導入シナリオ

いくつかの一般的な導入シナリオを次に示します。これらは、トークン検証がONTAPによってローカルで実行されるか、認証サーバによってリモートで実行されるかに基づいて編成されます。各シナリオには、必要な設定オプションのリストが含まれています。を参照してください "ONTAPでのOAuth 2.0の導入" コンフィギュレーションコマンドの例については、を参照してください。

ヒント 認可サーバを定義したら、ONTAP管理インターフェイスを使用してその設定を表示できます。たとえば、次のコマンドを使用します。 security oauth2 client show ONTAP CLIを使用します。

ローカル検証

次の導入シナリオは、ローカルでトークン検証を実行するONTAPに基づいています。

プロキシなしで自己完結型スコープを使用する

これは、OAuth 2.0の自己完結型スコープのみを使用する最も単純な展開です。ローカルONTAP ID定義は使用されません。次のパラメータを指定する必要があります。

  • 名前

  • アプリケーション(http)

  • プロバイダJWKS URI

  • 発行者URI

また、認可サーバーでスコープを追加する必要があります。

プロキシで自己完結型スコープを使用する

この展開シナリオでは、OAuth 2.0の自己完結型スコープを使用します。ローカルONTAP ID定義は使用されません。ただし、認可サーバはファイアウォールの内側にあるため、プロキシを設定する必要があります。次のパラメータを指定する必要があります。

  • 名前

  • アプリケーション(http)

  • プロバイダJWKS URI

  • 発信プロキシ

  • 発行者URI

  • 対象者

また、認可サーバーでスコープを追加する必要があります。

ローカルユーザロールとデフォルトユーザ名のマッピングをプロキシで使用する

この導入シナリオでは、ローカルユーザロールとデフォルトのネームマッピングを使用します。リモートユーザ要求では、のデフォルト値が使用されます。 sub アクセストークンのこのフィールドはローカルユーザー名と一致するために使用されます。ユーザ名は40文字以下にする必要があります。認証サーバはファイアウォールの内側にあるため、プロキシを設定する必要もあります。次のパラメータを指定する必要があります。

  • 名前

  • アプリケーション(http)

  • プロバイダJWKS URI

  • ローカルロールがある場合は使用 (true)

  • 発信プロキシ

  • 発行者

ローカルユーザがONTAPに定義されていることを確認する必要があります。

ローカルユーザロールと代替ユーザ名マッピングをプロキシで使用する

この導入シナリオでは、ローカルユーザロールと代替ユーザ名を使用して、ローカルONTAPユーザを照合します。認証サーバはファイアウォールの背後にあるため、プロキシを設定する必要があります。次のパラメータを指定する必要があります。

  • 名前

  • アプリケーション(http)

  • プロバイダJWKS URI

  • ローカルロールがある場合は使用 (true)

  • リモートユーザの要求

  • 発信プロキシ

  • 発行者URI

  • 対象者

ローカルユーザがONTAPに定義されていることを確認する必要があります。

リモートイントロスペクション

次の展開構成は、イントロスペクションを介してリモートでトークン検証を実行するONTAPに基づいています。

プロキシなしで自己完結型スコープを使用する

これは、OAuth 2.0の自己完結型スコープを使用したシンプルな展開です。ONTAP ID定義は使用されません。次のパラメータを指定する必要があります。

  • 名前

  • アプリケーション(http)

  • イントロスペクションエンドポイント

  • クライアント ID

  • 発行者URI

認可サーバーでは、スコープ、およびクライアントシークレットを定義する必要があります。