ONTAP OAuth 2.0 구축 개요
ONTAP 9.14부터 OAuth 2.0(Open Authorization 2.0) 프레임워크를 사용하여 ONTAP 클러스터에 대한 액세스를 제어할 수 있습니다. 이 기능은 ONTAP CLI, System Manager, REST API를 포함한 모든 ONTAP 관리 인터페이스를 사용하여 구성할 수 있습니다. 그러나 OAuth 2.0 권한 부여 및 액세스 제어 결정은 클라이언트가 REST API를 사용하여 ONTAP에 액세스할 때만 적용할 수 있습니다.
OAuth 2.0 지원은 ONTAP 9.14.0에서 처음 도입되었으며 사용 중인 ONTAP 릴리스에 따라 가용성이 달라집니다. 를 참조하십시오 "ONTAP 릴리즈 노트" 를 참조하십시오. |
기능 및 이점
ONTAP와 함께 OAuth 2.0을 사용할 때의 주요 기능과 이점은 다음과 같습니다.
OAuth 2.0은 업계 표준 인증 프레임워크입니다. 서명된 액세스 토큰을 사용하여 보호된 리소스에 대한 액세스를 제한하고 제어하는 데 사용됩니다. OAuth 2.0을 사용하면 다음과 같은 여러 이점이 있습니다.
-
권한 부여 구성에 대한 다양한 옵션
-
암호를 포함한 클라이언트 자격 증명을 공개하지 마십시오
-
토큰은 구성에 따라 만료되도록 설정할 수 있습니다
-
REST API와 함께 사용하는 데 가장 적합합니다
ONTAP OAuth 2.0 구현은 다음과 같이 ONTAP 릴리스를 기반으로 하는 몇 가지 일반적인 서버 또는 서비스에서 테스트되었습니다.
-
ONTAP 9.16.1(이름 매핑 및 외부 역할에 대한 그룹 UUID 지원):
-
Microsoft Entra ID입니다
-
-
ONTAP 9.14.1(표준 OAuth 2.0 기능 지원)
-
Auth0
-
ADFS(Active Directory Federation Service)
-
키클로크
-
각 ONTAP 릴리즈에서 사용할 수 있는 기능에 대한 자세한 내용은 을 "인증 서버 및 액세스 토큰"참조하십시오.
단일 ONTAP 클러스터에 대해 최대 8개의 인증 서버를 정의할 수 있습니다. 따라서 다양한 보안 환경의 요구 사항을 충족할 수 있는 유연성을 제공합니다.
ONTAP 권한 부여 결정은 궁극적으로 사용자 또는 그룹에 할당된 REST 역할을 기반으로 합니다. 이러한 역할은 액세스 토큰에서 자체 포함된 범위 또는 Active Directory 또는 LDAP 그룹과 함께 로컬 ONTAP 정의를 기반으로 수행됩니다.
클라이언트 인증을 강화하는 MTL(상호 전송 계층 보안)을 사용하도록 ONTAP 및 인증 서버를 구성할 수 있습니다. OAuth 2.0 액세스 토큰은 원래 발급된 클라이언트에서만 사용됩니다. 이 기능은 FAPI 및 MITRE에서 수립한 보안 권장 사항을 포함하여 몇 가지 일반적인 보안 권장 사항을 지원하고 그에 맞게 조정됩니다.
구현 및 구성
OAuth 2.0 구현 및 구성의 여러 측면을 개괄적으로 살펴보면 시작할 때 고려해야 할 사항이 있습니다.
OAuth 2.0 권한 부여 프레임워크는 데이터 센터 또는 네트워크 내의 실제 요소 또는 가상 요소에 매핑할 수 있는 여러 엔터티를 정의합니다. OAuth 2.0 엔터티 및 ONTAP에 대한 적응은 아래 표에 나와 있습니다.
OAuth 2.0 엔티티 | 설명 |
---|---|
리소스 |
내부 ONTAP 명령을 통해 ONTAP 리소스에 액세스하는 REST API 엔드포인트입니다. |
리소스 소유자 |
보호된 리소스를 생성했거나 기본적으로 소유한 ONTAP 클러스터 사용자입니다. |
리소스 서버 |
ONTAP 클러스터인 보호된 리소스의 호스트입니다. |
클라이언트 |
리소스 소유자를 대신하거나 리소스 소유자의 권한이 있는 REST API 끝점에 대한 액세스를 요청하는 응용 프로그램입니다. |
인증 서버 |
일반적으로 액세스 토큰 발급 및 관리 정책 적용을 담당하는 전용 서버입니다. |
OAuth 2.0을 활성화하고 사용하려면 ONTAP 클러스터를 구성해야 합니다. 여기에는 인증 서버에 대한 연결 설정 및 필요한 ONTAP 인증 구성 정의가 포함됩니다. 다음과 같은 관리 인터페이스를 사용하여 이 구성을 수행할 수 있습니다.
-
ONTAP 명령줄 인터페이스입니다
-
시스템 관리자
-
ONTAP REST API를 참조하십시오
ONTAP 정의 외에 인증 서버도 구성해야 합니다. 그룹-역할 매핑을 사용하는 경우 Active Directory 그룹 또는 이에 상응하는 LDAP도 구성해야 합니다.
ONTAP 9.14부터 REST API 클라이언트는 OAuth 2.0을 사용하여 ONTAP에 액세스할 수 있습니다. REST API 호출을 실행하기 전에 인증 서버에서 액세스 토큰을 얻어야 합니다. 그런 다음 클라이언트는 HTTP 승인 요청 헤더를 사용하여 이 토큰을 _bearer token_으로 ONTAP 클러스터에 전달합니다. 필요한 보안 수준에 따라 클라이언트에서 인증서를 만들고 설치하여 MTL을 기반으로 보낸 사람 제한 토큰을 사용할 수도 있습니다.
선택된 용어
ONTAP를 사용하여 OAuth 2.0 배포를 살펴보기 시작하면 몇 가지 용어를 익히는 것이 좋습니다. 을 참조하십시오 "추가 리소스" OAuth 2.0에 대한 자세한 내용을 보려면 링크를 클릭하십시오.
- 액세스 토큰
-
인증 서버에서 발급되고 OAuth 2.0 클라이언트 응용 프로그램에서 보호된 리소스에 대한 액세스를 요청하는 데 사용하는 토큰입니다.
- JSON 웹 토큰
-
액세스 토큰을 포맷하는 데 사용되는 표준입니다. JSON은 OAuth 2.0 클레임을 세 개의 주요 섹션으로 정렬한 작은 형식으로 표현하는 데 사용됩니다.
- 보낸 사람 제한 액세스 토큰
-
MTL(상호 전송 계층 보안) 프로토콜을 기반으로 하는 선택적 기능입니다. 토큰에 추가 확인 클레임을 사용하면 액세스 토큰이 원래 발급된 클라이언트에서만 액세스 토큰을 사용할 수 있습니다.
- JSON 웹 키 집합입니다
-
JWKS는 ONTAP에서 클라이언트가 제시한 JWT 토큰을 확인하기 위해 사용하는 공개 키 모음입니다. 키 세트는 일반적으로 전용 URI를 통해 인증 서버에서 사용할 수 있습니다.
- 범위
-
범위를 사용하면 ONTAP REST API와 같은 보호된 리소스에 대한 응용 프로그램의 액세스를 제한하거나 제어할 수 있습니다. 액세스 토큰은 문자열로 표시됩니다.
- ONTAP REST 역할입니다
-
ONTAP 9.6에 도입된 REST 역할은 ONTAP RBAC 프레임워크의 핵심 부분입니다. 이러한 역할은 ONTAP에서 여전히 지원하는 이전의 기존 역할과 다릅니다. ONTAP의 OAuth 2.0 구현은 REST 역할만 지원합니다.
- HTTP 권한 부여 헤더
-
REST API 호출의 일부로 클라이언트 및 관련 권한을 식별하기 위한 HTTP 요청에 포함된 헤더 인증 및 권한 부여가 수행되는 방법에 따라 몇 가지 기능 또는 구현이 가능합니다. ONTAP에 OAuth 2.0 액세스 토큰을 제시할 때 토큰은 bearer token 으로 식별됩니다.
- HTTP 기본 인증
-
초기 HTTP 인증 기법은 여전히 ONTAP에서 지원됩니다. 일반 텍스트 자격 증명(사용자 이름 및 암호)은 콜론으로 연결되고 base64로 인코딩됩니다. 이 문자열은 승인 요청 헤더에 배치되고 서버로 전송됩니다.
- 파피
-
금융 업계를 위한 프로토콜, 데이터 스키마 및 보안 권장 사항을 제공하는 OpenID Foundation의 작업 그룹입니다. 이 API는 원래 금융 등급 API로 알려져 있었습니다.
- 마이터
-
미국 공군과 미국 정부에 기술 및 보안 지침을 제공하는 비영리 민간 회사입니다.
추가 리소스
몇 가지 추가 리소스가 아래에 제공됩니다. OAuth 2.0 및 관련 표준에 대한 자세한 내용을 보려면 이러한 사이트를 검토해야 합니다.
-
"ONTAP 자동화" 문서화