ONTAP客户端授权概述和选项
建议更改
PDF
ONTAP OAuth2.0实施灵活可靠、可为您提供保护ONTAP环境所需的功能。有几个互斥配置选项可用。授权决策最终取决于OAuth2.0访问令牌中包含或派生的ONTAP REST角色。
|
您只能使用 "ONTAP REST角色" 为OAuth2.0配置授权时。不支持早期的ONTAP传统角色。 |
ONTAP会根据您的配置应用最合适的授权选项。有关ONTAP如何做出客户端访问决策的详细信息、请参见"ONTAP如何确定访问"。
这些范围包含一个或多个自定义REST角色、每个角色封装在访问令牌的一个字符串中。它们与ONTAP角色定义无关。您需要在授权服务器上配置范围字符串。有关详细信息、请参见 "独立的OAuth2.0范围" 。
可以使用一个名为的REST角色、可以是内置角色、也可以是自定义角色。指定角色的作用域语法为*ONTAP角色<URL-encoded-ONTAP-role-name>。例如,如果ONTAP角色为范围字符串,则 admin`为 `ontap-role-admin。
可以使用为访问应用程序"http"而定义的访问令牌中的用户名。系统将根据定义的身份验证方法按以下顺序对用户进行测试:密码、域(Active Directory)、nsswitch (LDAP)。
可以将授权服务器配置为使用ONTAP组进行授权。如果检查了本地ONTAP定义、但无法做出访问决定、则会使用Active Directory ("域")或LDAP ("nsswitch")组。可以通过以下两种方式之一指定组信息:
-
OAuth2.0范围字符串
支持使用客户端凭据流的机密应用程序、其中没有具有组成员资格的用户。此范围应命名为*ONTAP组-*ONTAP <URL-encoded-ONTAP-group-name>。例如、如果组为"developing"、则范围字符串将为"ONTAP组-developing"。
-
在"组"索赔中
这适用于ADFS使用资源所有者(密码授予)流颁发的访问令牌。
有关详细信息、请参见 "使用组" 。