Skip to main content
AI Data Engine
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

AIDE REST API에 대한 인증 및 권한 부여

기여자 dmp-netapp
PDF

AIDE 확장 기능과 함께 ONTAP REST API를 사용하기 전에 인증 및 권한 부여 옵션을 이해해야 합니다.

ONTAP REST API 인증 옵션

ONTAP REST API는 두 가지 주요 인증 기술을 지원합니다.

기본 인증

기본 인증은 HTTP 프로토콜의 일부로 정의된 간단한 기술입니다. 기본 인증을 사용하면 API 호출의 Authorization 헤더에 사용자 이름과 비밀번호(결합하여 base64로 인코딩)를 제공합니다. AIDE REST API에서는 사용을 권장하지 않지만 기존 ONTAP API 호출에서는 사용할 수 있습니다.

OAuth 2.0 인증

9.14.1부터 ONTAP는 OAuth 2.0도 지원합니다. 이는 더욱 안전하고 유연한 인증 프레임워크입니다. OAuth 2.0을 사용할 때는 외부 ID 공급자(IdP)로부터 액세스 토큰을 요청하고 각 HTTP 요청에 해당 토큰을 포함해야 합니다.

AI Data Engine 및 OpenID Connect

OpenID Connect(OIDC)는 OAuth 2.0을 기반으로 구축되었으며 사용자와 애플리케이션을 인증할 때 안전하고 표준화된 옵션을 제공합니다. DCN 및 AIDE 기능에 액세스하려면 OIDC가 필요합니다. "ONTAP에서 AIDE에 대한 OpenID Connect 구성" 후 ONTAP System Manager 및 온박스 Swagger 페이지에 대한 액세스는 OIDC 인증으로 보호됩니다.

ONTAP System Manager에서 OIDC를 구성하는 과정에서 OAuth 2.0이 자동으로 활성화되고 OAuth 2.0 클라이언트가 생성됩니다. 그러면 일반적으로 IdP 메타데이터 URI에서 확인할 수 있는 IdP의 *token_endpoint*를 통해 액세스 토큰을 발급받을 수 있습니다. 발급받은 액세스 토큰은 AIDE 리소스에 대한 접근 권한을 인증하고 부여하기 위해 API 호출 시 Authorization 헤더에 포함해야 합니다.

ONTAP RBAC 구현 개선 사항

AIDE REST API에 대한 액세스는 ONTAP의 역할 기반 액세스 제어(RBAC) 프레임워크를 사용하여 보호됩니다. 사용자는 AIDE 리소스에 액세스하고 REST API를 통해 작업을 수행하려면 ONTAP에서 적절한 역할과 권한이 할당되어 있어야 합니다.

AIDE를 지원하는 두 가지 추가 ONTAP 역할이 있습니다. IdP에서 정의된 해당 외부 역할은 AIDE 리소스에 필요한 액세스 권한을 제공하기 위해 이러한 ONTAP 역할에 매핑되어야 합니다.

참고 두 개의 새로운 ONTAP 역할 외에도 외부 스토리지 관리자 역할을 기존 ONTAP admin 역할에 매핑해야 합니다. 자세한 내용은 "AI Data Engine 구성 요소 및 역할 기반 상호 작용""ONTAP에서 AIDE에 대한 OpenID Connect 구성"을 참조하십시오.
데이터 엔지니어

이는 AIDE Data Engineer를 위한 사전 정의된 ONTAP 관리 역할입니다. AIDE 데이터 엔지니어링 작업을 수행하는 데 필요한 엔드포인트와 해당 CLI 명령 디렉터리에만 액세스를 제한합니다. 작업에는 작업 영역 및 데이터 수집 작업, 작업 보기, 허용된 경우 파일 미리 보기 사용이 포함됩니다.

데이터 과학자

이는 AIDE Data Scientist를 위한 두 번째 사전 정의된 ONTAP 관리 역할입니다. 마찬가지로 AIDE 데이터 과학자 워크플로에 필요한 REST API 및 해당 CLI 명령 디렉터리에만 액세스가 제한됩니다.

액세스 토큰 획득

REST API 호출에 사용할 액세스 토큰을 발급받아야 합니다. 토큰 요청은 ONTAP 외부에서 수행되며 정확한 절차는 인증 서버 및 해당 구성에 따라 다릅니다. 웹 브라우저, curl 명령 또는 프로그래밍 언어를 사용하여 토큰을 요청할 수 있습니다. 이해를 돕기 위해 curl을 사용하여 Microsoft Entra ID에서 액세스 토큰을 요청하는 예시를 아래에 제시합니다.

시작하기 전에

다음 사항에 유의하십시오.

  • AIDE가 활성화된 클러스터에 대해 "ONTAP에서 AIDE에 대한 OpenID Connect 구성"해야 합니다.

  • 일반적으로 OIDC 메타데이터 URI를 통해 확인할 수 있는 IdP의 `token_endpoint`를 확인하십시오.

  • 사용하는 IdP에 따라 CLIENT_ID와 같은 구성에 적합한 값을 찾으십시오.

  • TENANT_ID, CLIENT_ID, CLIENT_SECRET 등의 구성 매개 변수는 UUID 형식입니다. USERNAME과 PASSWORD는 일반 텍스트 자격 증명입니다.

  • curl 명령과 함께 사용할 변수 값을 Bash 셸에서 정의할 수도 있습니다.

단계

  1. 로컬 워크스테이션의 CLI에서 다음 명령을 실행하고 환경에 따라 변수 값을 입력하십시오.

    curl --location "https://login.microsoftonline.com/$TENANT_ID/oauth2/v2.0/token" \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode "grant_type=password" \
--data-urlencode "client_id=$CLIENT_ID" \
--data-urlencode "client_secret=$CLIENT_SECRET" \
--data-urlencode "scope=$SCOPE/.default" \
--data-urlencode "username=$USERNAME" \
--data-urlencode "password=$PASSWORD"

  2. 응답을 검토하고 REST API 호출에 사용할 액세스 토큰을 추출합니다.

관련 정보