在 ONTAP 中为 AIDE 配置 OpenID Connect
建议更改
PDF
作为 ONTAP 集群管理员,您可以使用 ONTAP System Manager 为 AI Data Engine (AIDE) 集群配置 OpenID Connect (OIDC) 身份验证。这通过外部身份提供商 (IdP) 提供安全和集中的登录。
|
您必须配置 OIDC 才能访问 AI Data Engine Console。配置后,所有身份验证都将通过 OIDC 进行。如果未配置 OIDC,管理员以及数据工程师和数据科学家将无法使用控制台。在此情况下,登录到 System Manager 将恢复到本地身份验证。 |
还请注意以下有关用于 AIDE 访问的 OIDC 配置的信息:
-
您无法修改现有的 OIDC 配置。如果需要进行更改,请先删除配置,然后创建具有所需设置的新配置。
-
如果禁用或删除 OIDC,System Manager 将恢复为本地 ONTAP 用户身份验证。
OIDC 概述
OpenID Connect (OIDC) 是基于 OAuth 2.0 框架构建的身份验证协议。它通过添加身份层来扩展主要用于授权的 OAuth 2.0。OIDC 引入了 ID 令牌的概念,它是一个 JSON Web Token (JWT),包含有关身份验证事件和用户身份的声明。
您需要选择和配置 AFX 与 AIDE 支持的外部身份提供程序 (IdP)。IdP 对用户进行身份验证,并发出令牌,AFX 可通过 System Manager 使用这些令牌来授予对 AIDE Console 的访问权限。
配置第三方身份提供程序
要使用 OIDC 进行身份验证,需要首先配置外部 IdP。ONTAP 实现的 OIDC 使用令牌中的角色声明来强制执行 RBAC。设置 IdP 时,请确保将其配置为在 id 令牌和访问令牌中返回角色声明。ONTAP 支持两个 IdPs 进行 OIDC 身份验证:Entra ID 和 Active Directory Federation Services (AD FS)。
Entra ID
您可以通过以下高级步骤配置 Entra ID:
-
在 Entra ID 配置页面创建新的应用注册。
-
将重定向 URI(Web)值设置为
https://$CLUSTER_MGMT_IP/oidc/callback,替换相应的集群管理 IP 地址或 FQDN。 -
在应用角色下创建所需的角色,并将其分配给您的用户。
-
将令牌声明更新到令牌配置下,以返回 id-token 和 access-token 中的角色。
有关更多信息,请参见 "使用 Entra ID 设置 OpenID Connect 提供程序"。
Active Directory Federation Services
您可以使用以下高级步骤配置 AD FS:
-
创建新的应用程序组并选择 Server application accessing a web API。
-
将重定向 URI(Web)值设置为
https://$CLUSTER_MGMT_IP/oidc/callback,替换相应的集群管理 IP 地址或 FQDN。 -
配置声明以返回令牌中的角色。
有关更多信息,请参见 "将 AD FS 添加为 OpenID Connect 标识提供程序"。
在 System Manager 中配置 OIDC
配置 IdP 后,您可以在 System Manager 中设置 OIDC 身份验证,以启用对 AIDE Console 的安全访问。
-
您需要具有 System Manager 的管理员访问权限。
-
必须配置并访问您的 OIDC 身份提供程序。
-
在 System Manager 中,选择 Cluster,然后选择 Settings;找到 OpenID Connect 卡。
-
如果已配置 OIDC,则可以编辑或禁用该配置。如果未配置 OIDC,请选择
开始设置过程。 -
在 Configure OpenID Connect 下,提供以下字段的值:
-
提供程序
-
发行人
-
JSON Web 密钥集 URI
-
授权端点
-
Token 端点
-
结束会话端点
-
访问令牌颁发者(可选)
-
-
在客户端配置下,为以下字段提供值:
-
客户端 ID
-
远程用户声明
-
刷新间隔
-
-
在"连接详细信息"下,为以下字段提供值:
-
集群 IP 地址或 FQDN
-
传出代理(可选)
-
-
在外部角色映射下,选择现有角色映射或为 ONTAP
admin用户定义新角色。 -
选择 立即启用 ,然后选择 保存 。System Manager 将刷新以应用新的身份验证设置。
-
使用 IdP 凭据登录;身份验证成功后,您将返回到 System Manager。