Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

OAuth 2.0の導入シナリオ

共同作成者
PDF

ONTAPに認可サーバーを定義するときに使用できる設定オプションはいくつかあります。これらのオプションに基づいて、いくつかの展開シナリオのいずれかを使用して、環境に適した承認サーバーを定義できます。

設定パラメータの概要

ONTAPに認可サーバーを定義する際には、いくつかの設定パラメータを使用できます。これらのパラメータは、一般にすべての管理インターフェイスでサポートされています。

メモ 個 々 のパラメータまたはフィールドに使用される名前は、ONTAP管理インターフェイスによって異なります。管理インターフェイスの違いに対応するために、テーブル内の各パラメータに1つの汎用名が使用されます。特定のインターフェイスで使用される正確な名前は、コンテキストに基づいて明確にする必要があります。
パラメータ 説明

名前

ONTAPで認識されている認可サーバの名前。

アプリケーション

定義が適用されるONTAP内部アプリケーション。これは* http *である必要があります。

発行者URI

トークンを発行するサイトまたは組織を識別するパスを持つFQDN。

プロバイダJWKS URI

ONTAPがアクセストークンの検証に使用するJSON Webキーセットを取得するパスとファイル名を含むFQDN。

JWKS更新間隔

ONTAPがプロバイダーJWKS URIから証明書情報を更新する頻度を決定する時間間隔。値はISO-8601形式で指定します。

イントロスペクションエンドポイント

ONTAPがイントロスペクションを通じてリモートトークン検証を実行するために使用するパスを持つFQDN。

クライアントID

認可サーバで定義されているクライアントの名前。この値が含まれている場合は、インターフェイスに基づいて関連付けられたクライアントシークレットも指定する必要があります。

発信プロキシ

これは、ONTAPがファイアウォールの背後にある場合に、認可サーバへのアクセスを提供するためです。URIはcurl形式で指定する必要があります。

ローカルロールがある場合は使用

ローカルONTAP定義が使用されているかどうかを判断するブーリアンフラグ(名前付きRESTロールとローカルユーザを含む)。

リモートユーザの要求

ONTAPがローカルユーザとの照合に使用する別名。アクセストークンのフィールドを使用して sub、ローカルユーザ名を照合します。

対象読者

このフィールドは、アクセストークンを使用できるエンドポイントを定義します。

導入シナリオ

いくつかの一般的な導入シナリオを次に示します。これらは、トークン検証がONTAPによってローカルで実行されるか、認証サーバによってリモートで実行されるかに基づいて編成されます。各シナリオには、必要な設定オプションのリストが含まれています。コンフィギュレーションコマンドの例については、を参照してください"ONTAPでのOAuth 2.0の導入"

ヒント 認可サーバを定義したら、ONTAP管理インターフェイスを使用してその設定を表示できます。たとえば、ONTAP CLIでコマンドを使用し `security oauth2 client show`ます。

ローカル検証

次の導入シナリオは、ローカルでトークン検証を実行するONTAPに基づいています。

プロキシなしで自己完結型スコープを使用する

これは、OAuth 2.0の自己完結型スコープのみを使用する最も単純な展開です。ローカルONTAP ID定義は使用されません。次のパラメータを指定する必要があります。

  • 名前

  • アプリケーション(http)

  • プロバイダJWKS URI

  • 発行者URI

また、認可サーバーでスコープを追加する必要があります。

プロキシで自己完結型スコープを使用する

この展開シナリオでは、OAuth 2.0の自己完結型スコープを使用します。ローカルONTAP ID定義は使用されません。ただし、認可サーバはファイアウォールの内側にあるため、プロキシを設定する必要があります。次のパラメータを指定する必要があります。

  • 名前

  • アプリケーション(http)

  • プロバイダJWKS URI

  • 発信プロキシ

  • 発行者URI

  • 対象読者

また、認可サーバーでスコープを追加する必要があります。

ローカルユーザロールとデフォルトユーザ名のマッピングをプロキシで使用する

この導入シナリオでは、ローカルユーザロールとデフォルトのネームマッピングを使用します。リモートユーザ要求では、のデフォルト値が使用される `sub`ため、アクセストークンのこのフィールドはローカルユーザ名の照合に使用されます。ユーザ名は40文字以下にする必要があります。認証サーバはファイアウォールの内側にあるため、プロキシを設定する必要もあります。次のパラメータを指定する必要があります。

  • 名前

  • アプリケーション(http)

  • プロバイダJWKS URI

  • 存在する場合はローカルロールを使用(true

  • 発信プロキシ

  • 発行者

ローカルユーザがONTAPに定義されていることを確認する必要があります。

ローカルユーザロールと代替ユーザ名マッピングをプロキシで使用する

この導入シナリオでは、ローカルユーザロールと代替ユーザ名を使用して、ローカルONTAPユーザを照合します。認証サーバはファイアウォールの背後にあるため、プロキシを設定する必要があります。次のパラメータを指定する必要があります。

  • 名前

  • アプリケーション(http)

  • プロバイダJWKS URI

  • 存在する場合はローカルロールを使用(true

  • リモートユーザの要求

  • 発信プロキシ

  • 発行者URI

  • 対象読者

ローカルユーザがONTAPに定義されていることを確認する必要があります。

リモートイントロスペクション

次の展開構成は、イントロスペクションを介してリモートでトークン検証を実行するONTAPに基づいています。

プロキシなしで自己完結型スコープを使用する

これは、OAuth 2.0の自己完結型スコープを使用したシンプルな展開です。ONTAP ID定義は使用されません。次のパラメータを指定する必要があります。

  • 名前

  • アプリケーション(http)

  • イントロスペクションエンドポイント

  • クライアントID

  • 発行者URI

認可サーバーでは、スコープ、およびクライアントシークレットを定義する必要があります。