인증 서버 및 액세스 토큰
-
이 문서 사이트의 PDF
-
볼륨 관리
-
CLI를 통한 논리적 스토리지 관리
-
-
NAS 스토리지 관리
-
CLI를 사용하여 SMB를 관리합니다
-
SMB를 사용하여 파일 액세스를 관리합니다
-
-
-
보안 및 데이터 암호화
-
![](https://docs.netapp.com/common/images/pdf-zip.png)
별도의 PDF 문서 모음
Creating your file...
인증 서버는 OAuth 2.0 권한 부여 프레임워크 내에서 중앙 구성 요소로 몇 가지 중요한 기능을 수행합니다.
OAuth 2.0 인증 서버
권한 부여 서버는 주로 액세스 토큰을 만들고 서명합니다. 이러한 토큰에는 클라이언트 응용 프로그램이 보호된 리소스에 선택적으로 액세스할 수 있도록 하는 ID 및 권한 부여 정보가 포함되어 있습니다. 서버는 일반적으로 서로 격리되며 독립 실행형 전용 서버나 대규모 ID 및 액세스 관리 제품의 일부로 구현하는 등 여러 가지 방법으로 구현할 수 있습니다.
|
인증 서버에는 다른 용어를 사용할 수 있습니다. 특히 OAuth 2.0 기능이 보다 큰 ID 및 액세스 관리 제품 또는 솔루션 내에 패키지되어 있는 경우 더욱 그렇습니다. 예를 들어, * ID 공급자(IDP) * 라는 용어는 * 인증 서버 * 와 같은 의미로 사용되는 경우가 많습니다. |
관리
권한 부여 서버는 액세스 토큰을 발급하는 것 외에도 일반적으로 웹 사용자 인터페이스를 통해 관련 관리 서비스를 제공합니다. 예를 들어 다음을 정의하고 관리할 수 있습니다.
-
사용자 및 사용자 인증
-
범위
-
테넌트 및 영역을 통한 관리 분리
-
정책 적용
-
다양한 외부 서비스에 연결
-
기타 ID 프로토콜(예: SAML) 지원
ONTAP는 OAuth 2.0 표준과 호환되는 인증 서버와 호환됩니다.
ONTAP로 정의
ONTAP에 하나 이상의 인증 서버를 정의해야 합니다. ONTAP는 각 서버와 안전하게 통신하여 토큰을 확인하고 클라이언트 응용 프로그램을 지원하는 기타 관련 작업을 수행합니다.
ONTAP 구성의 주요 측면은 다음과 같습니다. 도 참조하십시오 "OAuth 2.0 배포 시나리오" 를 참조하십시오.
액세스 토큰의 유효성을 검사하는 방법에는 두 가지가 있습니다.
-
로컬 검증
ONTAP는 토큰을 발급한 인증 서버에서 제공한 정보를 기반으로 액세스 토큰의 유효성을 로컬로 검사할 수 있습니다. 인증 서버에서 검색된 정보는 ONTAP에 의해 캐시되고 정기적으로 새로 고쳐집니다.
-
원격 자기 주도
또한 인증 서버에서 토큰의 유효성을 검사하기 위해 원격 검사를 사용할 수도 있습니다. introspection은 권한이 있는 사용자가 인증 서버에 액세스 토큰을 쿼리할 수 있도록 하는 프로토콜입니다. ONTAP는 액세스 토큰에서 특정 메타데이터를 추출하고 토큰의 유효성을 검사하는 방법을 제공합니다. ONTAP은 성능상의 이유로 일부 데이터를 캐싱합니다.
ONTAP가 방화벽 뒤에 있을 수 있습니다. 이 경우 프록시를 구성의 일부로 식별해야 합니다.
CLI, System Manager 또는 REST API를 포함한 관리 인터페이스를 사용하여 ONTAP에 권한 부여 서버를 정의할 수 있습니다. 예를 들어, CLI에서는 명령을 사용합니다 security oauth2 client create
.
단일 ONTAP 클러스터에 대해 최대 8개의 인증 서버를 정의할 수 있습니다. 발급사 또는 발급사/대상 그룹 클레임이 고유하면 동일한 인증 서버를 동일한 ONTAP 클러스터에 두 번 이상 정의할 수 있습니다. 예를 들어 Keycloak를 사용하면 다른 영역을 사용할 때 항상 이 경우가 발생합니다.
OAuth 2.0 액세스 토큰 사용
인증 서버에서 발급한 OAuth 2.0 액세스 토큰은 ONTAP에서 검증하고 REST API 클라이언트 요청에 대한 역할 기반 액세스 결정을 내리는 데 사용됩니다.
액세스 토큰을 가져오는 중입니다
REST API를 사용하는 ONTAP 클러스터에 정의된 인증 서버에서 액세스 토큰을 얻어야 합니다. 토큰을 얻으려면 인증 서버에 직접 연결해야 합니다.
|
ONTAP는 액세스 토큰을 발급하거나 클라이언트에서 인증 서버로 요청을 리디렉션하지 않습니다. |
토큰을 요청하는 방법은 다음과 같은 여러 요인에 따라 달라집니다.
-
인증 서버 및 구성 옵션
-
OAuth 2.0 보조금 유형
-
요청을 발급하는 데 사용되는 클라이언트 또는 소프트웨어 도구입니다
허가 유형
A_GRANT_는 OAuth 2.0 액세스 토큰을 요청하고 수신하는 데 사용되는 네트워크 흐름 집합을 포함한 잘 정의된 프로세스입니다. 클라이언트, 환경 및 보안 요구 사항에 따라 여러 가지 다른 부여 형식을 사용할 수 있습니다. 인기 있는 보조금 유형 목록은 아래 표에 나와 있습니다.
허가 유형 | 설명 |
---|---|
클라이언트 자격 증명입니다 |
ID 및 공유 암호 등 자격 증명만 사용하는 일반적인 부여 유형입니다. 클라이언트는 리소스 소유자와 밀접한 트러스트 관계를 갖는 것으로 간주됩니다. |
암호 |
리소스 소유자 암호 자격 증명 부여 유형은 리소스 소유자가 클라이언트와 신뢰 관계가 설정된 경우에 사용할 수 있습니다. 레거시 HTTP 클라이언트를 OAuth 2.0으로 마이그레이션할 때도 유용합니다. |
인증 코드 |
이는 기밀 클라이언트에 이상적인 보조금 유형이며 리디렉션 기반 흐름을 기반으로 합니다. 액세스 토큰을 가져오고 토큰을 새로 고치는 데 사용할 수 있습니다. |
JWT 콘텐츠
OAuth 2.0 액세스 토큰은 JWT로 포맷됩니다. 콘텐츠는 사용자의 구성에 따라 인증 서버에서 만들어집니다. 그러나 토큰은 클라이언트 응용 프로그램에서 불투명합니다. 클라이언트는 토큰을 검사하거나 내용을 인식할 이유가 없습니다.
각 JWT 액세스 토큰에는 클레임 집합이 포함됩니다. 클레임은 권한 부여 서버의 관리 정의에 따라 발급자의 특성과 권한 부여를 설명합니다. 표준에 등록된 청구의 일부는 아래 표에 설명되어 있습니다. 모든 문자열은 대/소문자를 구분합니다.
청구 | 키워드 | 설명 |
---|---|---|
발급사 |
아이에스에스주식회사 |
토큰을 발급한 보안 주체를 식별합니다. 신청 처리는 응용 프로그램에 따라 다릅니다. |
제목 |
하위 |
토큰의 제목 또는 사용자입니다. 이름은 전역적으로 또는 로컬에서 고유하도록 범위가 지정됩니다. |
대상 |
호주 달러 |
토큰을 받을 수신자입니다. 문자열 배열로 구현됩니다. |
만료 |
만료 |
토큰이 만료되어 거부되어야 하는 시간입니다. |
을 참조하십시오 "RFC 7519: JSON 웹 토큰" 를 참조하십시오.