Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPを使用したOAuth 2.0導入シナリオ

共同作成者 netapp-aaron-holt dmp-netapp netapp-bhouser netapp-dbagwell netapp-aherbin
PDF

ONTAPに許可サーバを定義する際には、いくつかの設定オプションが用意されています。これらのオプションに基づいて、複数ある導入シナリオのいずれかを使用して、環境に適した許可サーバを定義できます。

設定パラメータの概要

ONTAPに許可サーバを定義する際には、いくつかの設定パラメータを使用できます。これらのパラメータは、通常はどの管理インターフェイスでもサポートされています。

メモ 個々のパラメータまたはフィールドに使用される名前は、ONTAP管理インターフェイスによって異なる場合があります。管理インターフェイスの違いに対応するために、表内の各パラメータには単一の汎用名が使用されています。文脈に応じて、特定のインターフェイスで使用される正確な名前に読み替えてください。
パラメータ 概要

Name

ONTAPで認識される許可サーバの名前です。

Application

定義が適用されるONTAP内部アプリケーション。これは*http*である必要があります。

Issuer URI

トークンを発行するサイトまたは組織を特定するパスを含むFQDNです。

Provider JWKS URI

ONTAPがアクセス トークンの検証に使用するJSON Webキー セットを取得するパスとファイル名を含むFQDNです。

JWKS refresh interval

ONTAPがプロバイダのJWKS URIから証明書情報を更新する頻度を定めた時間間隔です。値は、ISO-8601形式で指定します。

Introspection endpoint

ONTAPがイントロスペクションを通じたリモート トークン検証に使用するパスを含むFQDNです。

Client ID

許可サーバで定義されているクライアントの名前です。この値を含める場合は、インターフェイスに基づいて関連付けられたクライアント シークレットも指定する必要があります。

Outgoing proxy

ONTAPがファイアウォールの内側にある場合に、許可サーバへのアクセスを提供するために指定します。URIはcurl形式にする必要があります。

Use local roles if present

指定RESTロールやローカル ユーザなど、ローカルのONTAP定義が使用されているかどうかを判定するブール値フラグです。

Remote user claim

ONTAPがローカルユーザを照合するために使用する代替名。アクセストークン内の `sub`フィールドを使用して、ローカルユーザ名と照合します。

Audience

このフィールドは、アクセス トークンを使用できるエンドポイントを定義します。

導入シナリオ

以下に、一般的な導入シナリオをいくつか示します。トークン検証がONTAPによってローカルで実行されるか、認可サーバによってリモートで実行されるかに基づいて整理されています。各シナリオには、必要な設定オプションのリストが含まれています。設定コマンドの例については、"ONTAPでのOAuth 2.0の導入"を参照してください。

ヒント 認可サーバを定義したら、ONTAP管理インターフェイスからその設定を表示できます。たとえば、ONTAP CLIで `security oauth2 client show`コマンドを使用します。

ローカル検証

次の導入シナリオは、トークン検証がONTAPによってローカルで実行されるものです。

自己完結型スコープを使用(プロキシなし)

OAuth 2.0の自己完結型スコープのみを使用する、最もシンプルな導入シナリオです。ローカルのONTAP ID定義は使用しません。指定が必要なパラメータは次のとおりです。

  • Name

  • Application(http)

  • Provider JWKS URI

  • Issuer URI

また、許可サーバにスコープを追加する必要があります。

自己完結型スコープを使用(プロキシあり)

この導入シナリオでは、OAuth 2.0の自己完結型スコープを使用します。ローカルのONTAP ID定義は使用しません。ただし、許可サーバがファイアウォールの内側にあるため、プロキシを設定する必要があります。指定が必要なパラメータは次のとおりです。

  • Name

  • Application(http)

  • Provider JWKS URI

  • Outgoing proxy

  • Issuer URI

  • Audience

また、許可サーバにスコープを追加する必要があります。

ローカル ユーザのロールとデフォルト ユーザ名のマッピングを使用(プロキシあり)

このデプロイメントシナリオでは、デフォルトの名前マッピングを持つローカルユーザーロールを使用します。リモートユーザークレームはデフォルト値 `sub`を使用するため、アクセストークンのこのフィールドはローカルユーザー名との照合に使用されます。ユーザー名は40文字以下である必要があります。認可サーバーはファイアウォールの背後にあるため、プロキシも設定する必要があります。以下のパラメータを含める必要があります:

  • Name

  • Application(http)

  • Provider JWKS URI

  • 存在する場合はローカルロールを使用する(true

  • Outgoing proxy

  • Issuer

ローカル ユーザがONTAPに定義されていることを確認する必要があります。

ローカル ユーザのロールと代替ユーザ名マッピングを使用(プロキシあり)

この導入シナリオでは、ローカル ユーザのロールと、ローカルONTAPユーザの照合に使用される代替ユーザ名を使用します。許可サーバがファイアウォールの内側にあるため、プロキシを設定する必要があります。指定が必要なパラメータは次のとおりです。

  • Name

  • Application(http)

  • Provider JWKS URI

  • 存在する場合はローカルロールを使用する(true

  • Remote user claim

  • Outgoing proxy

  • Issuer URI

  • Audience

ローカル ユーザがONTAPに定義されていることを確認する必要があります。

リモート イントロスペクション

次の導入設定は、ONTAPがイントロスペクションを介してリモートでトークン検証を実行する場合のものです。

自己完結型スコープを使用(プロキシなし)

OAuth 2.0の自己完結型スコープを使用する、シンプルな導入シナリオです。ONTAP ID定義は使用しません。次のパラメータを含める必要があります。

  • Name

  • Application(http)

  • Introspection endpoint

  • Client ID

  • Issuer URI

スコープのほかに、許可サーバでクライアントとクライアント シークレットを定義する必要があります。

関連情報