OAuth 2.0の導入シナリオ
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
ONTAPに認可サーバーを定義するときに使用できる設定オプションはいくつかあります。これらのオプションに基づいて、展開環境に適した承認サーバーを作成できます。
設定パラメータの概要
ONTAPに認可サーバーを定義する際には、いくつかの設定パラメータを使用できます。これらのパラメータは、一般にすべての管理インターフェイスでサポートされています。
パラメータ名は、ONTAP管理インターフェイスによって多少異なります。たとえば、リモートイントロスペクションを設定する場合、エンドポイントはCLIコマンドパラメータを使用して識別されます。 -introspection-endpoint
。ただし、System Managerでは、同等のフィールドは_AuthorizationサーバトークンイントロスペクションURI_です。すべてのONTAP管理インターフェイスに対応するために、パラメータの一般的な概要が用意されています。正確なパラメータまたはフィールドは、コンテキストに基づいて明確にする必要があります。
パラメータ | 説明 |
---|---|
名前 |
ONTAPで認識されている認可サーバの名前。 |
アプリケーション |
ONTAP内部アプリケーション定義環境。これは* http *である必要があります。 |
発行者URI |
トークンを発行するサイトまたは組織を識別するパスを持つFQDN。 |
プロバイダJWKS URI |
ONTAPがアクセストークンの検証に使用するJSON Webキーセットを取得するパスとファイル名を含むFQDN。 |
JWKS更新間隔 |
ONTAPがプロバイダーJWKS URIから証明書情報を更新する頻度を決定する時間間隔。値はISO-8601形式で指定します。 |
イントロスペクションエンドポイント |
ONTAPがイントロスペクションを通じてリモートトークン検証を実行するために使用するパスを持つFQDN。 |
クライアント ID |
認可サーバで定義されているクライアントの名前。この値が含まれている場合は、インターフェイスに基づいて関連付けられたクライアントシークレットも指定する必要があります。 |
発信プロキシ |
これは、ONTAPがファイアウォールの背後にある場合に、認可サーバへのアクセスを提供するためです。URIはcurl形式で指定する必要があります。 |
ローカルロールがある場合は使用 |
ローカルONTAP定義が使用されているかどうかを判断するブーリアンフラグ(名前付きRESTロールとローカルユーザを含む)。 |
ユーザ要求の削除 |
ONTAPがローカルユーザとの照合に使用する別名。を使用します |
導入シナリオ
いくつかの一般的な導入シナリオを次に示します。これらは、トークン検証がONTAPによってローカルで実行されるか、認証サーバによってリモートで実行されるかに基づいて編成されます。各シナリオには、必要な設定オプションのリストが含まれています。を参照してください "ONTAPでのOAuth 2.0の導入" コンフィギュレーションコマンドの例については、を参照してください。
認可サーバを定義したら、ONTAP管理インターフェイスを使用してその設定を表示できます。たとえば、次のコマンドを使用します。 security oauth2 client show ONTAP CLIを使用します。
|
ローカル検証
次の導入シナリオは、ローカルでトークン検証を実行するONTAPに基づいています。
これは、OAuth 2.0の自己完結型スコープのみを使用する最も単純な展開です。ローカルONTAP ID定義は使用されません。次のパラメータを指定する必要があります。
-
名前
-
アプリケーション(http)
-
プロバイダJWKS URI
-
発行者URI
また、認可サーバーでスコープを追加する必要があります。
この展開シナリオでは、OAuth 2.0の自己完結型スコープを使用します。ローカルONTAP ID定義は使用されません。ただし、認可サーバはファイアウォールの内側にあるため、プロキシを設定する必要があります。次のパラメータを指定する必要があります。
-
名前
-
アプリケーション(http)
-
プロバイダJWKS URI
-
発信プロキシ
-
発行者URI
-
対象者
また、認可サーバーでスコープを追加する必要があります。
この導入シナリオでは、ローカルユーザロールとデフォルトのネームマッピングを使用します。リモートユーザ要求では、のデフォルト値が使用されます。 sub
アクセストークンのこのフィールドはローカルユーザー名と一致するために使用されます。ユーザ名は40文字以下にする必要があります。認証サーバはファイアウォールの内側にあるため、プロキシを設定する必要もあります。次のパラメータを指定する必要があります。
-
名前
-
アプリケーション(http)
-
プロバイダJWKS URI
-
ローカルロールがある場合は使用 (
true
) -
発信プロキシ
-
発行者
ローカルユーザがONTAPに定義されていることを確認する必要があります。
この導入シナリオでは、ローカルユーザロールと代替ユーザ名を使用して、ローカルONTAPユーザを照合します。認証サーバはファイアウォールの背後にあるため、プロキシを設定する必要があります。次のパラメータを指定する必要があります。
-
名前
-
アプリケーション(http)
-
プロバイダJWKS URI
-
ローカルロールがある場合は使用 (
true
) -
リモートユーザの要求
-
発信プロキシ
-
発行者URI
-
対象者
ローカルユーザがONTAPに定義されていることを確認する必要があります。
リモートイントロスペクション
次の展開構成は、イントロスペクションを介してリモートでトークン検証を実行するONTAPに基づいています。
これは、OAuth 2.0の自己完結型スコープを使用したシンプルな展開です。ONTAP ID定義は使用されません。次のパラメータを指定する必要があります。
-
名前
-
アプリケーション(http)
-
イントロスペクションエンドポイント
-
クライアント ID
-
発行者URI
認可サーバーでは、スコープ、およびクライアントシークレットを定義する必要があります。