Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPの自己完結型OAuth 2.0スコープ

共同作成者 netapp-aaron-holt netapp-bhouser netapp-dbagwell dmp-netapp
PDF

自己完結型スコープは、アクセス トークンで伝送される文字列です。それぞれが完結したカスタム ロール定義であり、ONTAPがアクセスの可否を判定するために必要なものがすべて含まれています。スコープは、ONTAP内で定義されているRESTロールとは別の、独立したものです。

スコープ文字列のフォーマット

基本的に、スコープは連続した文字列で表され、コロンで区切られた6つの値で構成されます。ここでは、スコープ文字列で使用されるパラメータについて説明します。

ONTAPリテラル

スコープは、小文字のリテラル値 `ontap`で始まる必要があります。これにより、スコープがONTAPに固有であることが識別されます。

クラスタ

スコープが適用されるONTAPクラスタを定義します。指定できる値は、次のとおりです。

  • クラスタUUID

    単一のクラスタを特定します。

  • アスタリスク(*

    スコープをすべてのクラスタに適用することを意味します。

ONTAP CLIコマンド `cluster identity show`を使用して、クラスタのUUIDを表示できます。指定しない場合は、スコープがすべてのクラスタに適用されます。"ONTAPコマンド リファレンス"の `cluster identity show`の詳細をご覧ください。

ロール

自己完結型スコープに含まれるRESTロールの名前です。この値は、ONTAPで確認されたり、ONTAPに定義されている既存のRESTロールと照合されたりすることはありません。この名前は、ロギングに使用されます。

アクセス レベル

この値は、スコープ内でAPIエンドポイントを使用する場合にクライアント アプリケーションに適用されるアクセス レベルを表します。次の表に、設定できる6つの値をまとめておきます。

アクセス レベル 概要

なし

指定したエンドポイントへのアクセスをすべて拒否します。

readonly

GETを使用した読み取りアクセスのみを許可します。

read_create

読み取りアクセスと、POSTを使用した新しいリソース インスタンスの作成を許可します。

read_modify

読み取りアクセスと、PATCHを使用した既存のリソースの更新を許可します。

read_create_modify

削除以外のアクセスをすべて許可します。許可される処理は、GET(読み取り)、POST(作成)、PATCH(更新)です。

all

フル アクセスを許可します。

SVM

スコープが適用されるクラスター内のSVMの名前。すべてのSVMを指定するには、*(アスタリスク)を使用します。

注意 この機能はONTAP 9.14.1では完全にはサポートされていません。SVMパラメータは無視し、プレースホルダとしてアスタリスクを使用できます。 "ONTAPリリース ノート"を確認して、今後のSVMサポートについてチェックしてください。

REST API URI

リソースまたは関連リソースセットへの完全パスまたは部分パス。文字列は `/api`で始まる必要があります。値を指定しない場合、スコープはONTAPクラスタのすべてのAPIエンドポイントに適用されます。

スコープの例

自己完結型スコープの例を、いくつか紹介します。

ontap:*:joes-role:read_create_modify:*:/api/cluster

このロールを割り当てられたユーザーに `/cluster`エンドポイントへの読み取り、作成、および変更アクセス権を付与します。

CLI管理ツール

自己完結型スコープの管理を容易にし、エラーの発生を抑えるために、ONTAP は `security oauth2 scope`入力パラメータに基づいてスコープ文字列を生成する CLI コマンドを提供しています。

このコマンド `security oauth2 scope`には、入力内容に基づいて2つの使用例があります:

  • CLIパラメータからスコープ文字列を生成

    このバージョンのコマンドを使用すると、入力したパラメータに基づいてスコープ文字列を生成できます。

  • スコープ文字列からCLIパラメータを生成

    このバージョンのコマンドを使用すると、入力したスコープ文字列に基づいてコマンド パラメータを生成できます。

次の例は、スコープ文字列を生成するものです。コマンド例に続いて、出力結果も掲載しています。定義は、すべてのクラスタに適用されます。

security oauth2 scope cli-to-scope -role joes-role -access readonly -api /api/cluster

ontap:*:joes-role:readonly:*:/api/cluster

`security oauth2 scope`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/search.html?q=security+oauth2+scope["ONTAPコマンド リファレンス"^]をご覧ください。