ONTAP 클라이언트 인증에 대한 개요 및 옵션
변경 제안
PDF
ONTAP OAuth 2.0 구현은 유연하고 강력하도록 설계되어 ONTAP 환경을 보호하는 데 필요한 기능을 제공합니다. 상호 배타적인 구성 옵션은 여러 가지가 있습니다. 권한 부여 결정은 궁극적으로 OAuth 2.0 액세스 토큰에 포함되어 있거나 OAuth 2.0 액세스 토큰에서 파생된 ONTAP REST 역할을 기반으로 합니다.
|
만 사용할 수 있습니다 "ONTAP REST 역할" OAuth 2.0에 대한 권한 부여를 구성하는 경우. 이전 ONTAP의 기존 역할은 지원되지 않습니다. |
ONTAP는 사용자의 구성에 따라 가장 적합한 하나의 인증 옵션을 적용합니다. ONTAP에서 클라이언트 액세스 결정을 내리는 방법에 대한 자세한 내용은 을 "ONTAP에서 액세스를 결정하는 방법"참조하십시오.
이러한 범위에는 액세스 토큰의 단일 문자열 내에 캡슐화된 하나 이상의 사용자 지정 REST 역할이 포함됩니다. ONTAP 역할 정의와는 독립적입니다. 권한 부여 서버에서 범위 문자열을 구성해야 합니다. 자세한 내용은 을 "자체 포함된 OAuth 2.0 범위" 참조하십시오.
builtin 또는 custom 중 하나의 명명된 REST 역할을 사용할 수 있습니다. 명명된 역할의 범위 구문은 * ontap-role - * <URL-encoded-ONTAP-role-name>입니다. 예를 들어, ONTAP 역할이 인 경우 admin 범위 문자열은 입니다 ontap-role-admin.
"http" 응용 프로그램에 대한 액세스 권한으로 정의된 액세스 토큰의 사용자 이름을 사용할 수 있습니다. 사용자는 정의된 인증 방법인 암호, 도메인(Active Directory), nsswitch(LDAP)에 따라 다음 순서로 테스트됩니다.
권한 부여 서버는 인증에 ONTAP 그룹을 사용하도록 구성할 수 있습니다. 로컬 ONTAP 정의를 검사했지만 액세스를 결정할 수 없는 경우 Active Directory("도메인") 또는 LDAP("nsswitch") 그룹이 사용됩니다. 그룹 정보는 다음 두 가지 방법 중 하나로 지정할 수 있습니다.
-
OAuth 2.0 범위 문자열
그룹 멤버십을 가진 사용자가 없는 경우 클라이언트 자격 증명 흐름을 사용하여 기밀 응용 프로그램을 지원합니다. 범위의 이름은 * ontap-group - * <URL-encoded-ONTAP-group-name>여야 합니다. 예를 들어 그룹이 "development"인 경우 범위 문자열은 "ontap-group-development"가 됩니다.
-
"그룹" 요구 사항
리소스 소유자(암호 부여) 흐름을 사용하여 ADFS에서 발급한 액세스 토큰에 사용됩니다.
자세한 내용은 을 "그룹 작업" 참조하십시오.