Skip to main content
AI Data Engine
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

ONTAP에서 AIDE에 대한 OpenID Connect 구성

기여자 dmp-netapp netapp-bhouser netapp-dbagwell
PDF

ONTAP 클러스터 관리자는 ONTAP System Manager를 사용하여 AI Data Engine(AIDE) 클러스터에 대한 OpenID Connect(OIDC) 인증을 구성할 수 있습니다. 이를 통해 외부 ID 공급자(IdP)를 통한 안전하고 중앙 집중식 로그인이 가능합니다.

주의 AI Data Engine Console에 액세스하려면 OIDC를 구성해야 합니다. 구성이 완료되면 모든 인증은 OIDC를 통해 이루어집니다. OIDC가 구성되지 않은 경우 관리자는 물론 데이터 엔지니어와 데이터 과학자도 콘솔에 액세스할 수 없습니다. 이 경우 System Manager에 로그인할 때 로컬 인증 방식이 사용됩니다.

또한 AIDE 액세스를 위한 OIDC 구성과 관련하여 다음 사항을 참고하십시오.

  • 기존 OIDC 구성을 수정할 수 없습니다. 변경이 필요한 경우 먼저 구성을 삭제하고 원하는 설정으로 새 구성을 생성하십시오.

  • OIDC를 비활성화하거나 제거하면 System Manager는 로컬 ONTAP 사용자 인증으로 되돌아갑니다.

OIDC 개요

OpenID Connect(OIDC)는 OAuth 2.0 프레임워크를 기반으로 구축된 인증 프로토콜입니다. 주로 권한 부여에 사용되는 OAuth 2.0에 ID 계층을 추가하여 확장한 것입니다. OIDC는 인증 이벤트 및 사용자 ID에 대한 정보를 담고 있는 JSON Web Token(JWT)인 ID 토큰이라는 개념을 도입했습니다.

AFX with AIDE에서 지원하는 외부 ID 공급자(IdP)를 선택하고 구성해야 합니다. IdP는 사용자를 인증하고 AFX가 System Manager를 통해 AIDE Console에 대한 액세스 권한을 부여하는 데 사용할 수 있는 토큰을 발급합니다.

타사 ID 공급자 구성

OIDC를 사용하여 인증하려면 먼저 외부 IdP를 구성해야 합니다. ONTAP의 OIDC 구현은 토큰에 역할 클레임을 사용하여 RBAC를 적용합니다. IdP를 설정할 때 ID 토큰과 액세스 토큰에 역할 클레임을 반환하도록 구성해야 합니다. ONTAP는 OIDC 인증을 위해 Entra ID와 Active Directory Federation Services(AD FS) 두 가지 IdPs를 지원합니다.

Entra ID

다음과 같은 주요 단계를 통해 Entra ID를 구성할 수 있습니다.

  1. Entra ID 구성 페이지에서 새 App Registration을 생성하세요.

  2. 리디렉션 URI(웹) 값을 `\https://$CLUSTER_MGMT_IP/oidc/callback`로 설정하고, 적절한 클러스터 관리 IP 주소 또는 FQDN으로 대체하십시오.

  3. App Roles에서 필요한 역할을 생성하고 사용자에게 할당하세요.

  4. Token Configuration에서 토큰 클레임을 업데이트하여 id-token 및 access-token에 역할을 반환하도록 설정하십시오.

    https://learn.microsoft.com/en-us/power-pages/security/authentication/openid-settings["Entra ID를 사용하여 OpenID Connect 공급자 설정"^]자세한 내용은 해당 링크를 참조하십시오.

Active Directory Federation Services

다음과 같은 주요 단계를 통해 AD FS를 구성할 수 있습니다.

  1. 새 Application Group을 생성하고 *Server application accessing a web API*를 선택합니다.

  2. 리디렉션 URI(웹) 값을 `\https://$CLUSTER_MGMT_IP/oidc/callback`로 설정하고, 적절한 클러스터 관리 IP 주소 또는 FQDN으로 대체하십시오.

  3. 토큰에 역할을 반환하도록 클레임을 구성합니다.

    https://learn.microsoft.com/en-us/azure/active-directory-b2c/identity-provider-adfs?pivots=b2c-user-flow["AD FS를 OpenID Connect ID 공급자로 추가합니다"^]자세한 내용은 해당 링크를 참조하십시오.

System Manager에서 OIDC 구성

IdP를 구성한 후 System Manager에서 OIDC 인증을 설정하여 AIDE Console에 대한 보안 액세스를 활성화할 수 있습니다.

시작하기 전에

  • System Manager에 대한 관리자 액세스 권한이 있어야 합니다.

  • OIDC ID 공급자를 구성하고 액세스할 수 있어야 합니다.

단계

  1. System Manager에서 * Cluster * 를 선택한 다음 * Settings * 를 선택하고 OpenID Connect 카드를 찾으십시오.

  2. OIDC가 이미 구성된 경우 구성을 편집하거나 비활성화할 수 있습니다. OIDC가 구성되어 있지 않은 경우 톱니바퀴 아이콘을 선택하여 설정 프로세스를 시작하십시오.

  3. OpenID Connect 구성에서 다음 필드에 값을 입력하십시오.

    • 공급자

    • 발행자

    • JSON 웹 키 세트 URI

    • 인증 엔드포인트

    • 토큰 엔드포인트

    • 세션 종료 엔드포인트

    • Access Token 발급자(선택 사항)

  4. 클라이언트 구성에서 다음 필드에 값을 입력하십시오.

    • 클라이언트 ID

    • 원격 사용자 클레임

    • 새로 고침 간격

  5. 연결 세부 정보에서 다음 필드에 값을 입력하십시오.

    • 클러스터 IP 주소 또는 FQDN

    • 발신 프록시(선택 사항)

  6. 외부 역할 매핑에서 기존 역할 매핑을 선택하거나 ONTAP admin 사용자를 위한 새 역할을 정의합니다.

  7. *지금 활성화*를 선택한 다음 *저장*을 선택합니다. System Manager가 새로 고쳐져 새 인증 설정이 적용됩니다.

  8. IdP 자격 증명으로 로그인하십시오. 인증에 성공하면 System Manager로 돌아갑니다.

관련 정보