Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPニヨルクライアントアクセスノケツテイホウホウ

共同作成者
PDF

OAuth 2.0を適切に設計および実装するには、ONTAPが許可設定を使用してクライアントのアクセスを決定する方法を理解する必要があります。アクセスを確認するために使用する主な手順は、ONTAPリリースに基づいて次のとおりです。

メモ ONTAP 9 .15.1では、OAuth 2.0の重要なアップデートはありませんでした。9.15.1リリースを使用している場合は、ONTAP 9 .14.1の説明を参照してください。
関連情報

ONTAP 9 .16.1

ONTAP 9 .16.1では、標準のOAuth 2.0のサポートが拡張され、ネイティブのエントラIDグループ用のMicrosoftエントラID固有の拡張機能と外部の役割マッピングが含まれるようになりました。

ONTAP 9のクライアントアクセスを確認します。16.1
ステップ1:自己完結型スコープ

アクセストークンに自己完結型のスコープが含まれている場合、ONTAPは最初にこれらのスコープを調べます。自己完結型スコープがない場合は、ステップ2に進みます。

1つ以上の自己完結型スコープが存在する場合、ONTAPは明示的な*allow*または*deny*決定が行われるまで、各スコープを適用します。明示的な決定が行われた場合、処理は終了します。

ONTAPが明示的にアクセスを決定できない場合は、手順2に進みます。

手順2:ローカルロールフラグを確認する

ONTAPでは、ブーリアンパラメータが検証され `use-local-roles-if-present`ます。このフラグの値は、ONTAPに定義された認可サーバーごとに個別に設定されます。

  • 値がの場合は、 `true`手順3に進みます。

  • 値がの場合は false、処理が終了し、アクセスが拒否されます。

手順3:名前付きONTAP RESTロール

アクセストークンに名前付きRESTロールがOR scp`フィールドに含まれている場合、または要求として含まれている場合 `scope、ONTAPはそのロールを使用してアクセスの決定を行います。これにより、常に* allow または deny *の決定が行われ、処理が終了します。

名前付きRESTロールがない場合、またはロールが見つからない場合は、手順4に進みます。

手順4:ユーザ

アクセストークンからユーザ名を抽出し、アプリケーション「http」にアクセスできるユーザと照合します。ユーザは、認証方式に基づいて次の順序で検証されます。

  • パスワード

  • ドメイン(Active Directory)

  • nsswitch(LDAP)

一致するユーザが見つかった場合、ONTAPはそのユーザに対して定義されたロールを使用してアクセスを決定します。これにより、常に* allow または deny *の決定が行われ、処理が終了します。

ユーザが一致しない場合、またはアクセストークンにユーザ名がない場合は、手順5に進みます。

ステップ5:グループ

1つ以上のグループが含まれている場合は、形式が検査されます。グループがUUIDとして表されている場合は、内部グループマッピングテーブルが検索されます。一致するグループと関連付けられているロールがある場合、ONTAPはそのグループに定義されているロールを使用してアクセスを決定します。これにより、常に* allow または deny *の決定が行われ、処理が終了します。詳細については、を参照してください "グループの操作"

グループが名前で表され、ドメインまたはnsswitch許可が設定されている場合、ONTAPはそれらのグループをそれぞれActive DirectoryまたはLDAPグループと照合しようとします。一致するグループがある場合、ONTAPはそのグループに定義されたロールを使用してアクセスを決定します。これにより、常に* allow または deny *の決定が行われ、処理が終了します。

一致するグループがない場合、またはアクセストークンにグループがない場合、アクセスは拒否され、処理は終了します。

ONTAP 9 .14.1

サポートされている初期のOAuth 2.0は、標準のOAuth 2.0機能に基づいて、ONTAP 9 .14.1で導入されました。

ONTAP 9のクライアントアクセスを確認します。14.1
ステップ1:自己完結型スコープ

アクセストークンに自己完結型のスコープが含まれている場合、ONTAPは最初にこれらのスコープを調べます。自己完結型スコープがない場合は、ステップ2に進みます。

1つ以上の自己完結型スコープが存在する場合、ONTAPは明示的な*allow*または*deny*決定が行われるまで、各スコープを適用します。明示的な決定が行われた場合、処理は終了します。

ONTAPが明示的にアクセスを決定できない場合は、手順2に進みます。

手順2:ローカルロールフラグを確認する

ONTAPでは、ブーリアンパラメータが検証され `use-local-roles-if-present`ます。このフラグの値は、ONTAPに定義された認可サーバーごとに個別に設定されます。

  • 値がの場合は、 `true`手順3に進みます。

  • 値がの場合は false、処理が終了し、アクセスが拒否されます。

手順3:名前付きONTAP RESTロール

アクセストークンのフィールドまたは scp`フィールドに名前付きRESTロールが含まれている場合 `scope、ONTAPはそのロールを使用してアクセスを決定します。これにより、常に* allow または deny *の決定が行われ、処理が終了します。

名前付きRESTロールがない場合、またはロールが見つからない場合は、手順4に進みます。

手順4:ユーザ

アクセストークンからユーザ名を抽出し、アプリケーション「http」にアクセスできるユーザと照合します。ユーザは、認証方式に基づいて次の順序で検証されます。

  • パスワード

  • ドメイン(Active Directory)

  • nsswitch(LDAP)

一致するユーザが見つかった場合、ONTAPはそのユーザに対して定義されたロールを使用してアクセスを決定します。これにより、常に* allow または deny *の決定が行われ、処理が終了します。

ユーザが一致しない場合、またはアクセストークンにユーザ名がない場合は、手順5に進みます。

ステップ5:グループ

1つ以上のグループが含まれていて、ドメインまたはnsswitch認証が設定されている場合、ONTAPはそれらのグループをそれぞれActive DirectoryまたはLDAPグループと照合しようとします。

一致するグループがある場合、ONTAPはそのグループに定義されたロールを使用してアクセスを決定します。これにより、常に* allow または deny *の決定が行われ、処理が終了します。

一致するグループがない場合、またはアクセストークンにグループがない場合、アクセスは拒否され、処理は終了します。