Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

인증 서버 및 액세스 토큰

기여자

인증 서버는 OAuth 2.0 권한 부여 프레임워크 내에서 중앙 구성 요소로 몇 가지 중요한 기능을 수행합니다.

OAuth 2.0 인증 서버

권한 부여 서버는 주로 액세스 토큰을 만들고 서명합니다. 이러한 토큰에는 클라이언트 응용 프로그램이 보호된 리소스에 선택적으로 액세스할 수 있도록 하는 ID 및 권한 부여 정보가 포함되어 있습니다. 서버는 일반적으로 서로 격리되며 독립 실행형 전용 서버나 대규모 ID 및 액세스 관리 제품의 일부로 구현하는 등 여러 가지 방법으로 구현할 수 있습니다.

참고 인증 서버에는 다른 용어를 사용할 수 있습니다. 특히 OAuth 2.0 기능이 보다 큰 ID 및 액세스 관리 제품 또는 솔루션 내에 패키지되어 있는 경우 더욱 그렇습니다. 예를 들어, * ID 공급자(IDP) * 라는 용어는 * 인증 서버 * 와 같은 의미로 사용되는 경우가 많습니다.

관리

권한 부여 서버는 액세스 토큰을 발급하는 것 외에도 일반적으로 웹 사용자 인터페이스를 통해 관련 관리 서비스를 제공합니다. 예를 들어 다음을 정의하고 관리할 수 있습니다.

  • 사용자 및 사용자 인증

  • 범위

  • 테넌트 및 영역을 통한 관리 분리

  • 정책 적용

  • 다양한 외부 서비스에 연결

  • 기타 ID 프로토콜(예: SAML) 지원

ONTAP는 OAuth 2.0 표준과 호환되는 인증 서버와 호환됩니다.

ONTAP로 정의

ONTAP에 하나 이상의 인증 서버를 정의해야 합니다. ONTAP는 각 서버와 안전하게 통신하여 토큰을 확인하고 클라이언트 응용 프로그램을 지원하는 기타 관련 작업을 수행합니다.

ONTAP 구성의 주요 측면은 다음과 같습니다. 도 참조하십시오 "OAuth 2.0 배포 시나리오" 를 참조하십시오.

액세스 토큰의 유효성 검사 방법 및 위치

액세스 토큰의 유효성을 검사하는 방법에는 두 가지가 있습니다.

  • 로컬 검증

    ONTAP는 토큰을 발급한 인증 서버에서 제공한 정보를 기반으로 액세스 토큰의 유효성을 로컬로 검사할 수 있습니다. 인증 서버에서 검색된 정보는 ONTAP에 의해 캐시되고 정기적으로 새로 고쳐집니다.

  • 원격 자기 주도

    또한 인증 서버에서 토큰의 유효성을 검사하기 위해 원격 검사를 사용할 수도 있습니다. introspection은 권한이 있는 사용자가 인증 서버에 액세스 토큰을 쿼리할 수 있도록 하는 프로토콜입니다. ONTAP는 액세스 토큰에서 특정 메타데이터를 추출하고 토큰의 유효성을 검사하는 방법을 제공합니다. ONTAP은 성능상의 이유로 일부 데이터를 캐싱합니다.

네트워크 위치

ONTAP가 방화벽 뒤에 있을 수 있습니다. 이 경우 프록시를 구성의 일부로 식별해야 합니다.

권한 부여 서버가 정의되는 방법

CLI, System Manager 또는 REST API를 포함한 관리 인터페이스를 사용하여 ONTAP에 권한 부여 서버를 정의할 수 있습니다. 예를 들어, CLI에서는 명령을 사용합니다 security oauth2 client create.

인증 서버 수입니다

단일 ONTAP 클러스터에 대해 최대 8개의 인증 서버를 정의할 수 있습니다. 발급사 또는 발급사/대상 그룹 클레임이 고유하면 동일한 인증 서버를 동일한 ONTAP 클러스터에 두 번 이상 정의할 수 있습니다. 예를 들어 Keycloak를 사용하면 다른 영역을 사용할 때 항상 이 경우가 발생합니다.

OAuth 2.0 기능은 ONTAP에서 지원됩니다

OAuth 2.0에 대한 지원은 처음에 ONTAP 9.14.1에서 제공되었으며 이후 릴리스에서도 계속 향상되었습니다. ONTAP에서 지원하는 OAuth 2.0 기능은 아래에 설명되어 있습니다.

참고 특정 ONTAP 릴리스에서 도입된 기능은 향후 릴리스로 이전됩니다.

ONTAP 9.16.1

ONTAP 9.16.1은 기본 Entra ID 그룹에 대한 Entra ID별 확장을 포함하도록 표준 OAuth 2.0 기능을 확장합니다. 여기에는 이름 대신 액세스 토큰에 GUID를 사용하는 작업이 포함됩니다. 또한 릴리스는 액세스 토큰의 "역할" 필드를 사용하여 기본 ID 공급자 역할을 ONTAP 역할에 매핑하기 위해 외부 역할 매핑에 대한 지원을 추가합니다.

ONTAP 9.14.1

ONTAP 9.14.1부터 인증 서버는 다음을 사용하는 응용 프로그램에 대해 다음 표준 OAuth 2.0 기능을 통해 지원됩니다.

  • "RFC 7519: JSON 웹 토큰(JWT)" 에 설명된 대로 "ISS", "AUD" 및 "exp"와 같은 표준 필드가 있는 OAuth 2.0 "RFC6749: OAuth 2.0 인증 프레임워크" 여기에는 "UPN", "AppID", "sub", "username" 또는 "preferred_username"과 같은 액세스 토큰의 필드를 통해 사용자를 고유하게 식별하는 기능도 포함됩니다.

  • "그룹" 필드가 있는 그룹 이름에 대한 ADFS 공급업체별 확장명입니다.

  • "그룹" 필드가 있는 그룹 UUID에 대한 Azure 공급업체별 확장입니다.

  • OAuth 2.0 액세스 토큰 범위 내에서 자체 포함 및 명명된 역할을 사용하는 인증 지원을 위한 ONTAP 확장 여기에는 범위 내의 그룹 이름뿐만 아니라 "범위" 및 "SCP" 필드가 포함됩니다.

OAuth 2.0 액세스 토큰 사용

인증 서버에서 발급한 OAuth 2.0 액세스 토큰은 ONTAP에서 검증하고 REST API 클라이언트 요청에 대한 역할 기반 액세스 결정을 내리는 데 사용됩니다.

액세스 토큰을 가져오는 중입니다

REST API를 사용하는 ONTAP 클러스터에 정의된 인증 서버에서 액세스 토큰을 얻어야 합니다. 토큰을 얻으려면 인증 서버에 직접 연결해야 합니다.

주의 ONTAP는 액세스 토큰을 발급하거나 클라이언트에서 인증 서버로 요청을 리디렉션하지 않습니다.

토큰을 요청하는 방법은 다음과 같은 여러 요인에 따라 달라집니다.

  • 인증 서버 및 구성 옵션

  • OAuth 2.0 보조금 유형

  • 요청을 발급하는 데 사용되는 클라이언트 또는 소프트웨어 도구입니다

허가 유형

A_GRANT_는 OAuth 2.0 액세스 토큰을 요청하고 수신하는 데 사용되는 네트워크 흐름 집합을 포함한 잘 정의된 프로세스입니다. 클라이언트, 환경 및 보안 요구 사항에 따라 여러 가지 다른 부여 형식을 사용할 수 있습니다. 인기 있는 보조금 유형 목록은 아래 표에 나와 있습니다.

허가 유형 설명

클라이언트 자격 증명입니다

ID 및 공유 암호 등 자격 증명만 사용하는 일반적인 부여 유형입니다. 클라이언트는 리소스 소유자와 밀접한 트러스트 관계를 갖는 것으로 간주됩니다.

암호

리소스 소유자 암호 자격 증명 부여 유형은 리소스 소유자가 클라이언트와 신뢰 관계가 설정된 경우에 사용할 수 있습니다. 레거시 HTTP 클라이언트를 OAuth 2.0으로 마이그레이션할 때도 유용합니다.

인증 코드

이는 기밀 클라이언트에 이상적인 보조금 유형이며 리디렉션 기반 흐름을 기반으로 합니다. 액세스 토큰을 가져오고 토큰을 새로 고치는 데 사용할 수 있습니다.

JWT 콘텐츠

OAuth 2.0 액세스 토큰은 JWT로 포맷됩니다. 콘텐츠는 사용자의 구성에 따라 인증 서버에서 만들어집니다. 그러나 토큰은 클라이언트 응용 프로그램에서 불투명합니다. 클라이언트는 토큰을 검사하거나 내용을 인식할 이유가 없습니다.

각 JWT 액세스 토큰에는 클레임 집합이 포함됩니다. 클레임은 권한 부여 서버의 관리 정의에 따라 발급자의 특성과 권한 부여를 설명합니다. 표준에 등록된 청구의 일부는 아래 표에 설명되어 있습니다. 모든 문자열은 대/소문자를 구분합니다.

청구 키워드 설명

발급사

아이에스에스주식회사

토큰을 발급한 보안 주체를 식별합니다. 신청 처리는 응용 프로그램에 따라 다릅니다.

제목

하위

토큰의 제목 또는 사용자입니다. 이름은 전역적으로 또는 로컬에서 고유하도록 범위가 지정됩니다.

대상

호주 달러

토큰을 받을 수신자입니다. 문자열 배열로 구현됩니다.

만료

만료

토큰이 만료되어 거부되어야 하는 시간입니다.

을 참조하십시오 "RFC 7519: JSON 웹 토큰" 를 참조하십시오.