그룹 작업
ONTAP에서는 인증 서버를 기반으로 그룹을 구성하는 몇 가지 옵션을 제공합니다. 그런 다음 ONTAP에서 액세스를 결정하는 데 사용되는 역할에 그룹을 매핑할 수 있습니다.
그룹을 식별하는 방법
인증 서버에서 그룹을 구성하면 이름 또는 UUID를 사용하여 OAuth 2.0 액세스 토큰으로 식별되고 전달됩니다. ONTAP를 구성하기 전에 인증 서버가 그룹을 처리하는 방법을 알고 있어야 합니다.
액세스 토큰에 여러 그룹이 포함된 경우 ONTAP는 일치하는 항목이 있을 때까지 각 그룹을 사용하려고 시도합니다. |
그룹 이름
많은 인증 서버가 이름을 사용하여 그룹을 식별하고 나타냅니다. 다음은 ADFS(Active Directory Federation Service)에 의해 생성된 여러 그룹을 포함하는 JSON 액세스 토큰의 조각입니다. 자세한 내용은 을 이름으로 그룹을 관리합니다 참조하십시오.
... "sub": "User1_TestDev@NICAD5.COM", "group": [ "NICAD5\\Domain Users", "NICAD5\\Development Group", "NICAD5\\Production Group" ], "apptype": "Confidential", "appid": "3bff3b2b-8e40-44ba-7c11-d73c3b76e3e8", ...
UUID를 그룹화합니다
일부 인증 서버는 UUID를 사용하여 그룹을 식별하고 나타냅니다. 다음은 여러 그룹을 포함하는 Microsoft Entra ID에 의해 생성된 JSON 액세스 토큰의 조각입니다. 자세한 내용은 을 UUID를 사용하여 그룹을 관리합니다 참조하십시오.
... "appid": "4aff4b4b-8e40-44ba-7c11-d73c3b76e3d7", "appidacr": "1", "groups": [ "8ea4c5b0-bcad-4e66-8f1e-cd395474a448", "a8558fc2-a1b2-4cb7-cc41-59bd831840cc"], "name": "admin007 with group membership", ...
이름으로 그룹을 관리합니다
인증 서버에서 이름을 사용하여 그룹을 식별하는 경우 각 그룹이 ONTAP에 정의되어 있는지 확인해야 합니다. 보안 환경에 따라 그룹이 이미 정의되어 있을 수 있습니다.
다음은 ONTAP에 그룹을 정의하는 CLI 명령의 예입니다. 샘플 액세스 토큰에서 명명된 그룹을 사용하고 있습니다. 명령을 실행하려면 ONTAP * admin * 권한 수준이어야 합니다.
security login create -user-or-group-name "NICAD5\\Domain Users" -application http -authentication-method domain -role admin
ONTAP REST API를 사용하여 이 기능을 구성할 수도 있습니다. 자세한 내용은 을 "ONTAP 자동화 설명서"참조하십시오. |
UUID를 사용하여 그룹을 관리합니다
인증 서버가 UUID 값을 사용하여 그룹을 나타내는 경우 그룹을 사용하기 전에 2단계 구성을 수행해야 합니다. ONTAP 9.16.1부터 두 가지 매핑 기능을 사용할 수 있으며 Microsoft Entra ID로 테스트되었습니다. CLI 명령을 실행하려면 ONTAP * admin * 권한 수준이어야 합니다.
ONTAP REST API를 사용하여 이러한 기능을 구성할 수도 있습니다. 자세한 내용은 을 "ONTAP 자동화 설명서"참조하십시오. |
그룹 UUID를 그룹 이름에 매핑합니다
UUID 값을 사용하여 그룹을 나타내는 인증 서버를 사용하는 경우 그룹 UUID를 그룹 이름에 매핑해야 합니다. 기본 ONTAP CLI 작업에 대한 설명은 다음과 같습니다.
생성
명령을 사용하여 새 그룹 매핑 구성을 정의할 수 security login group create
있습니다. 그룹 UUID 및 이름은 인증 서버의 구성과 일치해야 합니다.
그룹 매핑을 생성하는 데 사용되는 매개 변수는 아래에 설명되어 있습니다.
매개 변수 | 설명 |
---|---|
|
선택적으로 그룹이 연결된 SVM(SVM)의 이름을 지정합니다. 생략하면 그룹이 ONTAP 클러스터와 연결됩니다. |
|
ONTAP에서 사용할 그룹의 고유 이름입니다. |
|
이 값은 그룹의 출처가 되는 ID 공급자를 나타냅니다. |
|
인증 서버에서 제공하는 그룹의 Universally Unique 식별자를 지정합니다. |
다음은 ONTAP에 그룹을 정의하는 CLI 명령의 예입니다. 샘플 액세스 토큰의 UUID 그룹을 사용하고 있습니다.
security login group create -vserver ontap-cls-1 -name IAM_Dev -type entra -uuid 8ea4c5b0-bcad-4e66-8f1e-cd395474a448
그룹을 생성한 후 그룹에 대해 고유한 읽기 전용 정수 식별자가 생성됩니다.
추가 CLI 작업
이 명령을 실행하면 다음과 같은 몇 가지 추가 작업이 지원됩니다.
-
표시
-
수정
-
삭제
옵션을 사용하여 그룹에 대해 생성된 고유한 그룹 ID를 검색할 수 show
있습니다. 자세한 내용은 ONTAP 명령 참조 문서를 참조하십시오.
그룹 UUID를 역할에 매핑합니다
UUID 값을 사용하여 그룹을 나타내는 인증 서버를 사용하는 경우 그룹을 역할에 매핑할 수 있습니다. 기본 ONTAP CLI 작업에 대한 설명은 다음과 같습니다. 또한 명령을 실행하려면 ONTAP * admin * 권한 수준이어야 합니다.
먼저 그룹에 대해 생성된 고유 정수 ID를 검색해야 그룹 UUID를 그룹 이름에 매핑합니다합니다. 그룹을 역할에 매핑하려면 ID가 필요합니다. |
생성
명령을 사용하여 새 역할 매핑을 정의할 수 security login group role-mapping create
있습니다.
그룹을 역할에 매핑하는 데 사용되는 매개 변수는 아래에 설명되어 있습니다.
매개 변수 | 설명 |
---|---|
|
명령을 사용하여 그룹에 대해 생성된 고유 ID를 |
|
그룹이 매핑되는 ONTAP 역할의 이름입니다. |
security login group role-mapping create -group-id 1 -role admin
추가 CLI 작업
이 명령을 실행하면 다음과 같은 몇 가지 추가 작업이 지원됩니다.
-
표시
-
수정
-
삭제
자세한 내용은 ONTAP 명령 참조 문서를 참조하십시오.