Visão geral e opções para autorização de cliente ONTAP
A implementação do ONTAP OAuth 2,0 foi projetada para ser flexível e robusta, fornecendo os recursos necessários para proteger seu ambiente ONTAP. Existem várias opções de configuração mutuamente exclusivas disponíveis. As decisões de autorização são, em última análise, baseadas nas funções REST do ONTAP contidas ou derivadas dos tokens de acesso OAuth 2,0.
Você só pode usar "Funções REST do ONTAP" ao configurar a autorização para o OAuth 2,0. As funções tradicionais anteriores do ONTAP não são suportadas. |
O ONTAP aplica a única opção de autorização mais adequada com base na sua configuração. "Como o ONTAP determina o acesso"Consulte para obter mais informações sobre como o ONTAP toma decisões de acesso ao cliente.
Esses escopos contêm uma ou mais funções REST personalizadas, cada uma encapsulada em uma única cadeia no token de acesso. Eles são independentes das definições de função do ONTAP. Você precisa configurar as strings de escopo em seu servidor de autorização. Consulte "Escopos OAuth 2,0 independentes" para obter mais informações.
Uma única função REST nomeada, seja builtin ou personalizado, pode ser usada. A sintaxe do escopo para uma função nomeada é ONTAP-role- com codificação URL-ONTAP-role-name>. Por exemplo, se a função ONTAP for admin
a string Escopo será ontap-role-admin
.
O nome de usuário no token de acesso definido com acesso ao aplicativo "http" pode ser usado. Um usuário é testado na seguinte ordem com base no método de autenticação definido: Senha, domínio (ative Directory), nsswitch (LDAP).
Os servidores de autorização podem ser configurados para usar grupos ONTAP para autorização. Se as definições locais do ONTAP forem examinadas, mas não for possível tomar nenhuma decisão de acesso, os grupos do ative Directory ("domínio") ou LDAP ("nsswitch") serão usados. As informações do grupo podem ser especificadas de duas maneiras:
-
OAuth 2,0 string de escopo
Suporta aplicativos confidenciais usando o fluxo de credenciais de cliente onde não há usuário com uma associação de grupo. O escopo deve ser nomeado ONTAP-group- com codificação URL-ONTAP-group-name>. Por exemplo, se o grupo for "desenvolvimento", a string de escopo será "ONTAP-group-development".
-
Na reclamação "Group" (grupo)
Isso é destinado a tokens de acesso emitidos pelo ADFS usando o fluxo proprietário do recurso (concessão de senha).
Consulte "Trabalhar com grupos" para obter mais informações.