Transport Layer Security（TLS）は、2つのアプリケーション（通常はクライアント ブラウザとWebサーバ）の間にセキュアな通信チャネルを確立するために使用されます。相互TLSは、クライアント証明書を通じた強力なクライアント識別を実現することにより、これを拡張したものです。OAuth 2.0を導入したONTAPクラスタで使用すると、送信者限定アクセス トークンを作成および使用できるので、基本的なmTLS機能が拡張されます。

送信者制約アクセストークンは、元々発行されたクライアントのみが使用できます。この機能をサポートするために、新しい確認クレーム(`cnf`がトークンに挿入されます。このフィールドには、アクセストークンの要求時に使用されたクライアント証明書のダイジェストを保持するプロパティ `x5t#S256`が含まれます。この値は、トークン検証の一環としてONTAPによって検証されます。送信者制約のない認可サーバによって発行されたアクセストークンには、追加の確認クレームは含まれません。

認証サーバごとにmTLSを使用するようにONTAPを設定する必要があります。たとえば、CLIコマンド `security oauth2 client`には、以下の表に示す3つの値に基づいてmTLS処理を制御するパラメータ `use-mutual-tls`が含まれています。

ONTAP環境でmTLSとOAuth 2.0を使用する際の一般的な手順を以下に示します。詳細については、 "RFC 8705：OAuth 2.0 相互TLSクライアント認証と証明書バインドアクセストークン"を参照してください。

クライアントIDの確立は、クライアントの秘密鍵を知っていることの証明がベースになります。対応する公開鍵は、クライアントから提示された署名付きX.509証明書に配置されます。クライアント証明書の大まかな作成手順は、次のとおりです。

クライアント証明書は通常、ローカルのオペレーティング システムにインストールしたり、curlなどの一般的なユーティリティで直接使用したりできます。

ONTAPでmTLSを使用するには、設定が必要です。この設定は認証サーバごとに個別に行います。例えば、CLIでは、コマンド `security oauth2 client`にオプションパラメータ `use-mutual-tls`を指定します。詳細については、"ONTAPでのOAuth 2.0の導入"を参照してください。

クライアントは、ONTAPに設定された許可サーバにアクセス トークンを要求する必要があります。クライアント アプリケーションは、手順1で作成してインストールした証明書でmTLSを使用する必要があります。

認可サーバーはクライアントリクエストを検証し、アクセストークンを生成します。この一環として、クライアント証明書のメッセージダイジェストを作成し、確認クレーム（フィールド cnf）としてトークンに含めます。

クライアントアプリケーションはONTAPクラスタに対してREST API呼び出しを行い、アクセストークンを*ベアラートークン*として認可リクエストヘッダーに含めます。クライアントは、アクセストークンのリクエストに使用したのと同じ証明書を使用してmTLSを使用する必要があります。

ONTAPは、HTTPリクエスト内のアクセストークンと、mTLS処理の一部として使用されるクライアント証明書を受け取ります。ONTAPは、まずアクセストークン内の署名を検証します。設定に基づいて、ONTAPはクライアント証明書のメッセージダイジェストを生成し、トークン内の確認クレーム*cnf*と比較します。2つの値が一致する場合、ONTAPは、APIリクエストを発行しているクライアントが、アクセストークンが最初に発行されたクライアントと同じであることを確認したことになります。