그룹 작업
변경 제안
PDF
ONTAP에서는 인증 서버를 기반으로 그룹을 구성하는 몇 가지 옵션을 제공합니다. 그런 다음 ONTAP에서 액세스를 결정하는 데 사용되는 역할에 그룹을 매핑할 수 있습니다.
그룹을 식별하는 방법
인증 서버에서 그룹을 구성하면 이름 또는 UUID를 사용하여 OAuth 2.0 액세스 토큰으로 식별되고 전달됩니다. ONTAP를 구성하기 전에 인증 서버가 그룹을 처리하는 방법을 알고 있어야 합니다.
|
액세스 토큰에 여러 그룹이 포함된 경우 ONTAP는 일치하는 항목이 있을 때까지 각 그룹을 사용하려고 시도합니다. |
그룹 이름
많은 인증 서버가 이름을 사용하여 그룹을 식별하고 나타냅니다. 다음은 ADFS(Active Directory Federation Service)에 의해 생성된 여러 그룹을 포함하는 JSON 액세스 토큰의 조각입니다. 자세한 내용은 을 이름으로 그룹을 관리합니다 참조하십시오.
...
"sub": "User1_TestDev@NICAD5.COM",
"group": [
"NICAD5\\Domain Users",
"NICAD5\\Development Group",
"NICAD5\\Production Group"
],
"apptype": "Confidential",
"appid": "3bff3b2b-8e40-44ba-7c11-d73c3b76e3e8",
...
UUID를 그룹화합니다
일부 인증 서버는 UUID를 사용하여 그룹을 식별하고 나타냅니다. 다음은 여러 그룹을 포함하는 Microsoft Entra ID에 의해 생성된 JSON 액세스 토큰의 조각입니다. 자세한 내용은 을 UUID를 사용하여 그룹을 관리합니다 참조하십시오.
...
"appid": "4aff4b4b-8e40-44ba-7c11-d73c3b76e3d7",
"appidacr": "1",
"groups": [
"8ea4c5b0-bcad-4e66-8f1e-cd395474a448",
"a8558fc2-a1b2-4cb7-cc41-59bd831840cc"],
"name": "admin007 with group membership",
...
이름으로 그룹을 관리합니다
인증 서버에서 이름을 사용하여 그룹을 식별하는 경우 각 그룹이 ONTAP에 정의되어 있는지 확인해야 합니다. 보안 환경에 따라 그룹이 이미 정의되어 있을 수 있습니다.
다음은 ONTAP에 그룹을 정의하는 CLI 명령의 예입니다. 샘플 액세스 토큰에서 명명된 그룹을 사용하고 있습니다. 명령을 실행하려면 ONTAP * admin * 권한 수준이어야 합니다.
security login create -user-or-group-name "NICAD5\\Domain Users" -application http -authentication-method domain -role admin
|
|
ONTAP REST API를 사용하여 이 기능을 구성할 수도 있습니다. 자세한 내용은 을 "ONTAP 자동화" 참조하십시오. |
UUID를 사용하여 그룹을 관리합니다
인증 서버가 UUID 값을 사용하여 그룹을 나타내는 경우 그룹을 사용하기 전에 2단계 구성을 수행해야 합니다. ONTAP 9.16.1부터 두 가지 매핑 기능을 사용할 수 있으며 Microsoft Entra ID로 테스트되었습니다. CLI 명령을 실행하려면 ONTAP * admin * 권한 수준이어야 합니다.
|
|
ONTAP REST API를 사용하여 이러한 기능을 구성할 수도 있습니다. "ONTAP 자동화"자세한 내용은 설명서 사이트를 참조하십시오. |
그룹 UUID를 그룹 이름에 매핑합니다
UUID 값을 사용하여 그룹을 나타내는 인증 서버를 사용하는 경우 그룹 UUID를 그룹 이름에 매핑해야 합니다. 기본 ONTAP CLI 작업에 대한 설명은 다음과 같습니다.
생성
명령을 사용하여 새 그룹 매핑 구성을 정의할 수 security login group create 있습니다. 그룹 UUID 및 이름은 인증 서버의 구성과 일치해야 합니다.
그룹 매핑을 생성하는 데 사용되는 매개 변수는 아래에 설명되어 있습니다.
| 매개 변수 | 설명 |
|---|---|
|
선택적으로 그룹이 연결된 SVM(SVM)의 이름을 지정합니다. 생략하면 그룹이 ONTAP 클러스터와 연결됩니다. |
|
ONTAP에서 사용할 그룹의 고유 이름입니다. |
|
이 값은 그룹의 출처가 되는 ID 공급자를 나타냅니다. |
|
인증 서버에서 제공하는 그룹의 Universally Unique 식별자를 지정합니다. |
다음은 ONTAP에 그룹을 정의하는 CLI 명령의 예입니다. 샘플 액세스 토큰의 UUID 그룹을 사용하고 있습니다.
security login group create -vserver ontap-cls-1 -name IAM_Dev -type entra -uuid 8ea4c5b0-bcad-4e66-8f1e-cd395474a448
그룹을 생성한 후 그룹에 대해 고유한 읽기 전용 정수 식별자가 생성됩니다.
추가 CLI 작업
이 명령을 실행하면 다음과 같은 몇 가지 추가 작업이 지원됩니다.
-
표시
-
수정
-
삭제
옵션을 사용하여 그룹에 대해 생성된 고유한 그룹 ID를 검색할 수 show 있습니다. 자세한 내용은 ONTAP 명령 참조 문서를 참조하십시오.
그룹 UUID를 역할에 매핑합니다
UUID 값을 사용하여 그룹을 나타내는 인증 서버를 사용하는 경우 그룹을 역할에 매핑할 수 있습니다. 기본 ONTAP CLI 작업에 대한 설명은 다음과 같습니다. 또한 명령을 실행하려면 ONTAP * admin * 권한 수준이어야 합니다.
|
|
먼저 그룹에 대해 생성된 고유 정수 ID를 검색해야 그룹 UUID를 그룹 이름에 매핑합니다합니다. 그룹을 역할에 매핑하려면 ID가 필요합니다. |
생성
명령을 사용하여 새 역할 매핑을 정의할 수 security login group role-mapping create 있습니다.
그룹을 역할에 매핑하는 데 사용되는 매개 변수는 아래에 설명되어 있습니다.
| 매개 변수 | 설명 |
|---|---|
|
명령을 사용하여 그룹에 대해 생성된 고유 ID를 |
|
그룹이 매핑되는 ONTAP 역할의 이름입니다. |
security login group role-mapping create -group-id 1 -role admin
추가 CLI 작업
이 명령을 실행하면 다음과 같은 몇 가지 추가 작업이 지원됩니다.
-
표시
-
수정
-
삭제
자세한 내용은 ONTAP 명령 참조 문서를 참조하십시오.