Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPにおける自己完結型OAuth 2.0スコープ

共同作成者 netapp-aaron-holt netapp-bhouser netapp-dbagwell dmp-netapp
PDF

自己完結型スコープは、アクセストークンで伝送される文字列です。各ロールは完全なカスタムロール定義であり、アクセスを決定するためにONTAPが必要とするすべての機能が含まれています。スコープは、ONTAP内で定義されているRESTロールとは別のものです。

スコープ文字列の形式

基本レベルでは、スコープは連続した文字列として表され、コロンで区切られた6つの値で構成されます。スコープ文字列で使用されるパラメータについては、以下で説明します。

ONTAPリテラル

スコープは、小文字のリテラル値で始まる必要があります ontap。これにより、範囲がONTAPに固有であることが識別されます。

クラスタ

スコープを適用するONTAPクラスタを定義します。次の値を指定できます。

  • クラスタUUID

    単一のクラスタを識別します。

  • アスタリスク(*)

    スコープがすべてのクラスタに適用されることを示します。

クラスタのUUIDは、ONTAP CLIのコマンドを使用して表示できます cluster identity show。指定しない場合、範囲はすべてのクラスタに適用されます。の詳細については cluster identity show、を"ONTAPコマンド リファレンス"参照してください。

ロール

自己完結型スコープに含まれるRESTロールの名前。この値は、ONTAPで検証されたり、ONTAPに定義されている既存のRESTロールと照合されたりすることはありません。この名前はロギングに使用されます。

アクセスレベル

この値は、スコープ内でAPIエンドポイントを使用するときにクライアントアプリケーションに適用されるアクセスレベルを示します。次の表に示す6つの値があります。

アクセスレベル 説明

なし

指定したエンドポイントへのすべてのアクセスを拒否します。

読み取り専用

GETを使用した読み取りアクセスのみを許可します。

read_create

POSTを使用して、読み取りアクセスと新しいリソースインスタンスの作成を許可します。

read_modify

読み取りアクセスを許可し、PATCHを使用して既存のリソースを更新する機能を許可します。

read_create_modify

削除以外のすべてのアクセスを許可します。許可される処理は、GET(読み取り)、POST(作成)、およびPATCH(更新)です。

すべて

フルアクセスを許可します。

SVM

スコープが適用されるクラスタ内のSVMの名前。すべてのSVMを示すために、*(アスタリスク)を使用します。

注意 この機能は、ONTAP 9.14.1では完全にはサポートされていません。SVMのパラメータは無視して、プレースホルダにアスタリスクを使用できます。で "ONTAPリリースノート"今後のSVMのサポートを確認します。

REST API URI

リソースまたは関連リソースのセットへの完全パスまたは部分パス。文字列はで始まる必要があります /api。値を指定しない場合、スコープはONTAPクラスタのすべてのAPIエンドポイントに適用されます。

範囲の例

自己完結型スコープの例を以下に示します。

ONTAP::joes-role:read_create_modify::/api/cluster

このロールを割り当てられたユーザに、エンドポイントへの読み取り、作成、および変更アクセスを許可します /cluster

CLI管理ツール

自己完結型スコープの管理を容易にし、エラーが発生しにくくするために、ONTAPには、入力パラメータに基づいてスコープ文字列を生成するCLIコマンドが用意されて `security oauth2 scope`います。

コマンド `security oauth2 scope`には、入力内容に基づいて次の2つのユースケースがあります。

  • 文字列をスコープするCLIパラメータ

    このバージョンのコマンドを使用すると、入力パラメータに基づいてスコープ文字列を生成できます。

  • scope string to CLIパラメータ

    このバージョンのコマンドを使用すると、入力スコープ文字列に基づいてコマンドパラメータを生成できます。

次の例では、次のコマンド例のあとに出力が含まれたスコープ文字列を生成します。この定義はすべてのクラスタに適用されます。

security oauth2 scope cli-to-scope -role joes-role -access readonly -api /api/cluster

ontap:*:joes-role:readonly:*:/api/cluster

の詳細については security oauth2 scope、を"ONTAPコマンド リファレンス"参照してください。