Skip to main content
AI Data Engine
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在 ONTAP 中为 AIDE 配置 OpenID Connect

贡献者 dmp-netapp netapp-dbagwell netapp-bhouser
PDF

作为 ONTAP 集群管理员,您可以使用 ONTAP System Manager 为 AI Data Engine (AIDE) 集群配置 OpenID Connect (OIDC) 身份验证。这通过外部身份提供商 (IdP) 提供安全和集中的登录。

注意 您必须配置 OIDC 才能访问 AIDE Console。配置后,所有身份验证都将通过 OIDC 进行。如果未配置 OIDC,管理员以及数据工程师和数据科学家将无法使用控制台。在此情况下,登录到 System Manager 将恢复到本地身份验证。

还请注意以下有关用于 AIDE 访问的 OIDC 配置的信息:

  • 在高层次上,OIDC 配置包括两个主要步骤。首先,您需要使用 System Manager 执行基本的 OIDC 配置。然后,您可以使用 ONTAP CLI 配置外部角色映射来完成设置。

  • 您无法修改现有的 OIDC 配置。如果需要进行更改,请先删除配置,然后创建具有所需设置的新配置。

  • 如果禁用或删除 OIDC,System Manager 将恢复为本地 ONTAP 用户身份验证。

OIDC 概述

OpenID Connect (OIDC) 是基于 OAuth 2.0 框架构建的身份验证协议。它通过添加身份层来扩展主要用于授权的 OAuth 2.0。OIDC 引入了 ID 令牌的概念,它是一个 JSON Web Token (JWT),包含有关身份验证事件和用户身份的声明。

您需要选择和配置 AFX 与 AIDE 支持的外部身份提供程序 (IdP)。IdP 对用户进行身份验证并发出令牌,AFX 可通过 System Manager 使用这些令牌来授予对 AIDE Console 的访问权限。

配置第三方身份提供程序

要使用 OIDC 进行身份验证,需要首先配置外部 IdP。ONTAP 实现的 OIDC 使用令牌中的角色声明来强制执行 RBAC。设置 IdP 时,请确保将其配置为在 id 令牌和访问令牌中返回角色声明。ONTAP 支持两个 IdPs 进行 OIDC 身份验证:Entra ID 和 Active Directory Federation Services (AD FS)。

Entra ID

您可以通过以下高级步骤配置 Entra ID:

  1. 在 Entra ID 配置页面创建新的应用注册。

  2. 将重定向 URI(Web)值设置为 https://$CLUSTER_MGMT_IP/oidc/callback,替换相应的集群管理 IP 地址或 FQDN。

  3. 在应用角色下创建所需的角色,并将其分配给您的用户。

  4. 将令牌声明更新到令牌配置下,以返回 id-token 和 access-token 中的角色。

有关更多信息,请参见 "使用 Entra ID 设置 OpenID Connect 提供程序"

Active Directory Federation Services

您可以使用以下高级步骤配置 AD FS:

  1. 创建新的应用程序组并选择 Server application accessing a web API

  2. 将重定向 URI(Web)值设置为 https://$CLUSTER_MGMT_IP/oidc/callback,替换相应的集群管理 IP 地址或 FQDN。

  3. 配置声明以返回令牌中的角色。

有关更多信息,请参见 "将 AD FS 添加为 OpenID Connect 标识提供程序"

在 System Manager 中配置 OIDC

配置 IdP 后,您可以在 System Manager 中设置 OIDC 身份验证,以启用对 AIDE Console 的安全访问。

提示 您可以提供元数据 URI 以自动填充 System Manager 中的 OIDC 配置字段。查看 IdP 的文档,以获取确切的 URI 格式。
开始之前

  • 您需要具有 System Manager 的管理员访问权限。

  • 必须配置并访问您的 OIDC 身份提供程序。

步骤

  1. 在 System Manager 中,选择 Cluster,然后选择 Settings;找到 OpenID Connect 卡。

  2. 如果已配置 OIDC,则可以编辑或禁用该配置。如果未配置 OIDC,请选择 齿轮图标 开始设置过程。

  3. 在 Configure OpenID Connect 下,提供以下字段的值:

    • 提供程序

    • 发行人

    • JSON Web 密钥集 URI

    • 授权端点

    • Token 端点

    • 结束会话端点

    • 访问令牌颁发者(可选)

  4. 在客户端配置下,为以下字段提供值:

    • 客户端 ID

    • 远程用户声明

    • 刷新间隔

  5. 在"连接详细信息"下,为以下字段提供值:

    • 集群 IP 地址或 FQDN

    • 传出代理(可选)

  6. 在外部角色映射下,选择现有角色映射或为 ONTAP admin 用户定义新角色。

  7. 选择 立即启用 ,然后选择 保存 。System Manager 将刷新以应用新的身份验证设置。

  8. 使用 IdP 凭据登录;身份验证成功后,您将返回到 System Manager。

完成后

通过配置外部角色映射完成 OIDC 设置。

使用 CLI 配置外部角色映射

外部角色映射是 ONTAP 功能,使您能够将外部 IdP 角色映射到相应的 ONTAP 角色。您需要配置此映射,以确保通过 OIDC 进行身份验证的用户在 ONTAP 中获得适当的 RBAC 权限。

关于此任务

此任务将数据工程师和数据科学家映射到相应的 ONTAP 角色。您需要根据您的环境使用相应的角色名称更新命令示例。请注意,在系统管理器中进行基本 OIDC 配置期间,您应该已经将存储管理员角色映射到 ONTAP admin 角色。

步骤

  1. 使用 SSH,使用具有管理权限的帐户登录到 ONTAP CLI。

  2. 配置数据工程师角色的角色映射;例如:

    security login external-role-mapping create -external-role dataEngineer -provider entra -ontap-role data-engineer

  3. 为数据科学家角色配置角色映射;例如:

    security login external-role-mapping create -external-role dataScientist -provider entra -ontap-role data-scientist

相关信息