グループの操作
変更を提案
PDF
ONTAPには、認可サーバに基づいてグループを設定するためのいくつかのオプションが用意されています。グループをロールにマッピングして、ONTAPでアクセスの決定に使用されるようにします。
グループの識別方法
承認サーバーでグループを構成すると、名前またはUUIDのいずれかを使用して、OAuth 2.0アクセストークンでグループが識別されて伝送されます。ONTAPを設定する前に、認可サーバがグループをどのように処理するかを理解しておく必要があります。
|
アクセストークンに複数のグループが含まれている場合、ONTAPは一致するまで各グループを使用しようとします。 |
グループ名
多くの認可サーバーは、名前を使用してグループを識別し、表現します。これは、複数のグループを含むActive Directoryフェデレーションサービス(ADFS)によって生成されたJSONアクセストークンの断片です。詳細については、を参照してください [名前付きのグループを管理します。] 。
...
"sub": "User1_TestDev@NICAD5.COM",
"group": [
"NICAD5\\Domain Users",
"NICAD5\\Development Group",
"NICAD5\\Production Group"
],
"apptype": "Confidential",
"appid": "3bff3b2b-8e40-44ba-7c11-d73c3b76e3e8",
...
グループUUID
一部の認証サーバは、UUIDを使用してグループを識別し、表現します。これは、複数のグループを含むMicrosoft Entra IDによって生成されたJSONアクセストークンの断片です。詳細については、を参照してください UUIDを使用したグループの管理 。
...
"appid": "4aff4b4b-8e40-44ba-7c11-d73c3b76e3d7",
"appidacr": "1",
"groups": [
"8ea4c5b0-bcad-4e66-8f1e-cd395474a448",
"a8558fc2-a1b2-4cb7-cc41-59bd831840cc"],
"name": "admin007 with group membership",
...
名前付きのグループを管理します。
認可サーバーが名前を使用してグループを識別する場合は、各グループがONTAPに定義されていることを確認する必要があります。セキュリティ環境によっては、グループがすでに定義されている場合があります。
ここでは、ONTAPに対してグループを定義するCLIコマンドの例を示します。サンプルアクセストークンの名前付きグループを使用していることに注目してください。このコマンドを実行するには、ONTAP * admin *権限レベルである必要があります。
security login create -user-or-group-name "NICAD5\\Domain Users" -application http -authentication-method domain -role admin
|
|
この機能は、ONTAP REST APIを使用して設定することもできます。詳細については、を参照してください "ONTAP の自動化" 。 |
UUIDを使用したグループの管理
認証サーバがUUID値を使用するグループを表している場合は、グループを使用する前に2段階の設定を行う必要があります。ONTAP 9 .16.1以降では、2つのマッピング機能を使用でき、MicrosoftエントラIDでテストされています。CLIコマンドを実行するには、ONTAP * admin *権限レベルである必要があります。
|
|
これらの機能は、ONTAP REST APIを使用して設定することもできます。詳細については、ドキュメントサイトを参照して "ONTAP の自動化"ください。 |
グループUUIDをグループ名にマッピングする
UUID値を使用するグループを表す認証サーバーを使用している場合は、グループUUIDをグループ名にマッピングする必要があります。ONTAP CLIの主な操作について次に説明します。
作成
新しいグループマッピング設定は、コマンドを使用して定義できます security login group create。グループのUUIDと名前は、許可サーバの設定と一致する必要があります。
グループマッピングの作成に使用するパラメータを次に示します。
| パラメータ | 説明 |
|---|---|
|
必要に応じて、グループを関連付けるSVM(SVM)の名前を指定します。省略すると、グループはONTAPクラスタに関連付けられます。 |
|
ONTAPが使用するグループの一意の名前。 |
|
この値は、グループの発信元のアイデンティティプロバイダを示します。 |
|
認可サーバによって提供されるグループのUniversally Unique Identifierを指定します。 |
ここでは、ONTAPに対してグループを定義するCLIコマンドの例を示します。サンプルアクセストークンのUUIDグループを使用していることに注目してください。
security login group create -vserver ontap-cls-1 -name IAM_Dev -type entra -uuid 8ea4c5b0-bcad-4e66-8f1e-cd395474a448
グループを作成すると、グループに対して一意の読み取り専用整数識別子が生成されます。
その他のCLI処理
このコマンドでは、次のような追加の処理がサポートされます。
-
- 表示
-
変更
-
削除
オプションを使用すると、グループに対して生成された一意のグループIDを取得できます show。詳細については、ONTAPコマンドのリファレンスドキュメントを参照してください。
グループUUIDをロールにマッピングする
UUID値を使用するグループを表す認証サーバーを使用している場合は、そのグループをロールにマッピングできます。ONTAP CLIの主な操作について次に説明します。また、コマンドを実行するには、ONTAP * admin *権限レベルにある必要があります。
|
|
最初に、グループに対して生成された一意の整数IDを取得する必要がありグループUUIDをグループ名にマッピングするます。グループをロールにマッピングするには、IDが必要です。 |
作成
新しいロールマッピングは、コマンドを使用して定義できます security login group role-mapping create。
グループをロールにマッピングするために使用されるパラメータを次に示します。
| パラメータ | 説明 |
|---|---|
|
コマンドを使用して、グループに対して生成される一意のIDを指定します |
|
グループのマッピング先のONTAPロールの名前。 |
security login group role-mapping create -group-id 1 -role admin
その他のCLI処理
このコマンドでは、次のような追加の処理がサポートされます。
-
- 表示
-
変更
-
削除
詳細については、ONTAPコマンドのリファレンスドキュメントを参照してください。