Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurar OpenID Connect para AIDE no ONTAP

Colaboradores dmp-netapp netapp-dbagwell netapp-bhouser
PDFs

Como administrador de cluster ONTAP, você pode usar ONTAP System Manager para configurar a autenticação OpenID Connect (OIDC) para um cluster AI Data Engine (AIDE). Isso proporciona um login seguro e centralizado por meio de um provedor de identidade (IdP) externo.

Cuidado Você deve configurar o OIDC para acessar o AIDE Console. Quando configurado, toda autenticação passa pelo OIDC. Se o OIDC não estiver configurado, o console ficará indisponível para administradores, engenheiros de dados e cientistas de dados. Nesse caso, entrar no System Manager volta para a autenticação local.

Observe também o seguinte sobre a configuração OIDC para acesso ao AIDE:

  • Em linhas gerais, a configuração do OIDC consiste em duas etapas principais. Primeiro, você precisa realizar a configuração básica do OIDC usando System Manager. Em seguida, você pode concluir a configuração definindo o mapeamento de funções externas usando a ONTAP CLI.

  • Não é possível modificar uma configuração OIDC existente. Se precisar fazer uma alteração, primeiro exclua a configuração e crie uma nova com as configurações desejadas.

  • Se você desativar ou remover o OIDC, System Manager voltará para a autenticação local do ONTAP.

Visão geral do OIDC

OpenID Connect (OIDC) é um protocolo de autenticação construído sobre a estrutura OAuth 2.0. Ele estende o OAuth 2.0, usado principalmente para autorização, adicionando uma camada de identidade. OIDC introduz o conceito de um token de ID, que é um JSON Web Token (JWT) contendo declarações sobre o evento de autenticação e a identidade do usuário.

Você precisa selecionar e configurar um provedor de identidade (IdP) externo compatível com AFX com AIDE. O IdP autentica os usuários e emite tokens que o AFX, por meio do System Manager, pode usar para conceder acesso ao AIDE Console.

Configurar provedores de identidade de terceiros

Para autenticar usando OIDC, primeiro você precisa configurar um IdP externo. A implementação do OIDC no ONTAP usa declarações de função nos tokens para impor o RBAC. Ao configurar um IdP, certifique-se de que ele esteja configurado para retornar declarações de função no token de id e no token de acesso. ONTAP oferece suporte a dois IdPs para autenticação OIDC: Entra ID e Active Directory Federation Services (AD FS).

Entra ID

Você pode configurar o Entra ID usando as seguintes etapas de alto nível:

  1. Crie um novo registro de aplicativo na página de configuração do Entra ID.

  2. Defina o valor do URI de redirecionamento (Web) para https://$CLUSTER_MGMT_IP/oidc/callback, substituindo o endereço IP de gerenciamento do cluster ou FQDN apropriado.

  3. Crie as funções necessárias em App Roles e atribua-as aos seus usuários.

  4. Atualize as declarações do token em Token Configuration para retornar as funções em id-token e access-token.

Veja "Configure um provedor OpenID Connect com Entra ID" para mais informações.

Active Directory Federation Services

Você pode configurar o AD FS usando as seguintes etapas de alto nível:

  1. Crie um novo Grupo de Aplicação e selecione Aplicativo de servidor acessando uma API da web.

  2. Defina o valor do URI de redirecionamento (Web) para https://$CLUSTER_MGMT_IP/oidc/callback, substituindo o endereço IP de gerenciamento do cluster ou FQDN apropriado.

  3. Configurar as declarações para retornar funções em tokens.

Veja "Adicione AD FS como um provedor de identidade OpenID Connect" para mais informações.

Configurar OIDC no System Manager

Após configurar seu IdP, você pode configurar a autenticação OIDC no System Manager para habilitar o acesso seguro ao AIDE Console.

Dica Você pode fornecer o URI de metadados para preencher automaticamente os campos de configuração OIDC no System Manager. Consulte a documentação do seu IdP para obter o formato exato do URI.
Antes de começar

  • Você precisa ter acesso de administrador ao System Manager.

  • Seu provedor de identidade OIDC deve estar configurado e acessível.

Passos

  1. No System Manager, selecione Cluster e depois Settings; localize o cartão OpenID Connect.

  2. Se o OIDC já estiver configurado, você pode editar ou desativar a configuração. Se o OIDC não estiver configurado, selecione ícone de engrenagem para iniciar o processo de configuração.

  3. Em Configurar OpenID Connect, forneça valores para os seguintes campos:

    • Fornecedor

    • Emissor

    • URI do conjunto de chaves web JSON

    • Endpoint de autorização

    • Endpoint de token

    • Encerrar sessão endpoint

    • Emissor do Token de Acesso (opcional)

  4. Em Configuração do cliente, forneça valores para os seguintes campos:

    • ID do cliente

    • Reivindicação de usuário remoto

    • Intervalo de atualização

  5. Em detalhes da conexão, forneça valores para os seguintes campos:

    • Endereço IP do cluster ou FQDN

    • Proxy de saída (opcional)

  6. Em Mapeamento de função externa, selecione um mapeamento de função existente ou defina uma nova função para o ONTAP admin usuário.

  7. Selecione Ativar agora e depois Salvar. System Manager será atualizado para aplicar as novas configurações de autenticação.

  8. Faça login com suas credenciais do IdP; após autenticação bem-sucedida, você retornará ao System Manager.

Depois que você terminar

Conclua a configuração do OIDC configurando o mapeamento de função externa.

Configurar o mapeamento de funções externas usando a CLI

O mapeamento de funções externas é um recurso do ONTAP que permite mapear as funções do IdP externo para as funções correspondentes no ONTAP. Você precisa configurar esse mapeamento para garantir que os usuários que se autenticam por meio do OIDC recebam as permissões RBAC apropriadas no ONTAP.

Sobre esta tarefa

Esta tarefa mapeia o engenheiro de dados e o cientista de dados para as funções correspondentes do ONTAP. Você precisa atualizar os exemplos de comando com os nomes de função apropriados com base no seu ambiente. Observe que você já deve ter mapeado a função de administrador de storage para a função do ONTAP admin durante a configuração básica do OIDC no System Manager.

Passos

  1. Utilizando SSH, faça login na ONTAP CLI com uma conta que possua privilégios administrativos.

  2. Configurar o mapeamento de funções para a função de engenheiro de dados; por exemplo:

    security login external-role-mapping create -external-role dataEngineer -provider entra -ontap-role data-engineer

  3. Configurar o mapeamento de funções para a função de cientista de dados; por exemplo:

    security login external-role-mapping create -external-role dataScientist -provider entra -ontap-role data-scientist

Informações relacionadas