Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

ONTAP가 클라이언트 액세스를 결정하는 방법

기여자
PDF

OAuth 2.0을 올바르게 설계하고 구현하려면 ONTAP에서 클라이언트의 액세스 결정을 내리기 위해 인증 구성이 사용되는 방법을 이해해야 합니다. 액세스를 결정하는 데 사용되는 주요 단계는 ONTAP 릴리스에 따라 아래에 나와 있습니다.

참고 ONTAP 9.15.1에서 중요한 OAuth 2.0 업데이트가 없었습니다. 9.15.1 릴리스를 사용하는 경우 ONTAP 9.14.1에 대한 설명을 참조하십시오.
관련 정보

ONTAP 9.16.1

ONTAP 9.16.1은 표준 OAuth 2.0 지원을 확장하여 기본 Entra ID 그룹에 대한 Microsoft Entra ID별 확장 및 외부 역할 매핑을 포함합니다.

ONTAP 9.16.1에 대한 클라이언트 액세스를 확인합니다
1단계: 자체 포함 범위

액세스 토큰에 자체 포함된 범위가 포함되어 있는 경우 ONTAP는 먼저 이러한 범위를 검사합니다. 자체 포함된 범위가 없는 경우 2단계로 이동합니다.

하나 이상의 자체 포함 범위가 있는 경우 ONTAP는 명시적 * allow * 또는 * deny * 결정을 내릴 수 있을 때까지 각 범위를 적용합니다. 명시적인 결정이 내려지면 처리가 종료됩니다.

ONTAP에서 명시적인 액세스 결정을 내릴 수 없는 경우 2단계를 계속 진행합니다.

2단계: 로컬 역할 플래그를 확인합니다

ONTAP는 부울 매개 변수를 `use-local-roles-if-present`검사합니다. 이 플래그의 값은 ONTAP로 정의된 각 인증 서버에 대해 별도로 설정됩니다.

  • 값이 이면 true 3단계를 계속 진행합니다.

  • 값이 이면 false 처리가 종료되고 액세스가 거부됩니다.

3단계: 이름이 지정된 ONTAP REST 역할입니다

액세스 토큰에 OR scp 필드에 이름이 지정된 REST 역할이 포함되어 있거나 클레임으로 포함되어 있는 경우 scope ONTAP는 해당 역할을 사용하여 액세스 결정을 내립니다. 이렇게 하면 항상 * allow * 또는 * deny * 결정이 되고 처리가 종료됩니다.

이름이 지정된 REST 역할이 없거나 역할을 찾을 수 없는 경우 4단계를 계속 진행하십시오.

4단계: 사용자

액세스 토큰에서 사용자 이름을 추출하고 "http" 응용 프로그램에 액세스할 수 있는 사용자와 일치시키려고 시도합니다. 사용자는 다음과 같은 순서로 인증 방법에 따라 검사됩니다.

  • 암호

  • 도메인(Active Directory)

  • Nsswitch(LDAP)

일치하는 사용자가 발견되면 ONTAP는 사용자에게 정의된 역할을 사용하여 액세스 결정을 내립니다. 이로 인해 항상 * allow * 또는 * deny * 결정이 내려지고 처리가 종료됩니다.

사용자가 일치하지 않거나 액세스 토큰에 사용자 이름이 없는 경우 5단계를 계속 진행합니다.

5단계: 그룹

하나 이상의 그룹이 포함된 경우 형식을 검사합니다. 그룹이 UUID로 표시되는 경우 내부 그룹 매핑 테이블이 검색됩니다. 그룹 일치 및 관련 역할이 있는 경우 ONTAP는 그룹에 대해 정의된 역할을 사용하여 액세스 결정을 내립니다. 이로 인해 항상 * allow * 또는 * deny * 결정이 내려지고 처리가 종료됩니다. 자세한 내용은 을 "그룹 작업"참조하십시오.

그룹이 이름으로 표시되고 도메인 또는 nsswitch 인증을 사용하여 구성된 경우 ONTAP는 각 그룹을 Active Directory 또는 LDAP 그룹과 일치시키려고 시도합니다. 그룹 일치 항목이 있는 경우 ONTAP는 그룹에 대해 정의된 역할을 사용하여 액세스 결정을 내립니다. 이로 인해 항상 * allow * 또는 * deny * 결정이 내려지고 처리가 종료됩니다.

일치하는 그룹이 없거나 액세스 토큰에 그룹이 없으면 액세스가 거부되고 처리가 종료됩니다.

ONTAP 9.14.1

지원되는 초기 OAuth 2.0은 표준 OAuth 2.0 기능을 기반으로 하는 ONTAP 9.14.1에 도입되었습니다.

ONTAP 9.14.1에 대한 클라이언트 액세스를 확인합니다
1단계: 자체 포함 범위

액세스 토큰에 자체 포함된 범위가 포함되어 있는 경우 ONTAP는 먼저 이러한 범위를 검사합니다. 자체 포함된 범위가 없는 경우 2단계로 이동합니다.

하나 이상의 자체 포함 범위가 있는 경우 ONTAP는 명시적 * allow * 또는 * deny * 결정을 내릴 수 있을 때까지 각 범위를 적용합니다. 명시적인 결정이 내려지면 처리가 종료됩니다.

ONTAP에서 명시적인 액세스 결정을 내릴 수 없는 경우 2단계를 계속 진행합니다.

2단계: 로컬 역할 플래그를 확인합니다

ONTAP는 부울 매개 변수를 `use-local-roles-if-present`검사합니다. 이 플래그의 값은 ONTAP로 정의된 각 인증 서버에 대해 별도로 설정됩니다.

  • 값이 이면 true 3단계를 계속 진행합니다.

  • 값이 이면 false 처리가 종료되고 액세스가 거부됩니다.

3단계: 이름이 지정된 ONTAP REST 역할입니다

액세스 토큰에 OR scp 필드에 이름이 지정된 REST 역할이 포함된 경우 scope ONTAP는 해당 역할을 사용하여 액세스 결정을 내립니다. 이렇게 하면 항상 * allow * 또는 * deny * 결정이 되고 처리가 종료됩니다.

이름이 지정된 REST 역할이 없거나 역할을 찾을 수 없는 경우 4단계를 계속 진행하십시오.

4단계: 사용자

액세스 토큰에서 사용자 이름을 추출하고 "http" 응용 프로그램에 액세스할 수 있는 사용자와 일치시키려고 시도합니다. 사용자는 다음과 같은 순서로 인증 방법에 따라 검사됩니다.

  • 암호

  • 도메인(Active Directory)

  • Nsswitch(LDAP)

일치하는 사용자가 발견되면 ONTAP는 사용자에게 정의된 역할을 사용하여 액세스 결정을 내립니다. 이로 인해 항상 * allow * 또는 * deny * 결정이 내려지고 처리가 종료됩니다.

사용자가 일치하지 않거나 액세스 토큰에 사용자 이름이 없는 경우 5단계를 계속 진행합니다.

5단계: 그룹

하나 이상의 그룹이 도메인 또는 nsswitch 인증을 사용하여 포함되어 구성된 경우 ONTAP는 이러한 그룹을 각각 Active Directory 또는 LDAP 그룹과 일치시키려고 시도합니다.

그룹 일치 항목이 있는 경우 ONTAP는 그룹에 대해 정의된 역할을 사용하여 액세스 결정을 내립니다. 이로 인해 항상 * allow * 또는 * deny * 결정이 내려지고 처리가 종료됩니다.

일치하는 그룹이 없거나 액세스 토큰에 그룹이 없으면 액세스가 거부되고 처리가 종료됩니다.