使用ONTAP 的OAuth 2.0 部署场景
建议更改
PDF
在为ONTAP定义授权服务器时、可以使用多个配置选项。根据这些选项、您可以使用多种部署方案之一定义适合您环境的授权服务器。
配置参数摘要
在为ONTAP定义授权服务器时、可以使用多个配置参数。通常、所有管理界面都支持这些参数。
|
单个参数或字段使用的名称可能会因ONTAP管理界面而异。为了适应管理界面之间的差异、表中的每个参数都使用一个通用名称。根据上下文、用于特定接口的确切名称应该是显而易见的。 |
| 参数 | Description |
|---|---|
Name |
ONTAP已知的授权服务器名称。 |
应用程序 |
ONTAP内部应用程序定义适用场景。此参数必须为*http*。 |
颁发者URI |
FQDN、其中包含用于标识发出令牌的站点或组织的路径。 |
提供程序JWKS URI |
包含路径和文件名的FQDN、ONTAP可从中获取用于验证访问令牌的JSON Web密钥集。 |
JWKS刷新间隔 |
确定ONTAP刷新提供程序JWKS URI中证书信息的频率的时间间隔。该值以ISO-8601格式指定。 |
自省端点 |
包含ONTAP用于通过自省执行远程令牌验证的路径的FQDN。 |
客户端 ID |
在授权服务器上定义的客户端名称。如果包含此值、则还需要根据接口提供关联的客户端密钥。 |
传出代理 |
这是为了在ONTAP受防火墙保护时提供对授权服务器的访问。此URI必须采用CURL格式。 |
使用本地角色(如果存在) |
一个布尔值标志、用于确定是否使用本地ONTAP定义、包括已命名的REST角色和本地用户。 |
远程用户声明 |
ONTAP用于匹配本地用户的备用名称。使用 |
audience |
此字段定义可以使用访问令牌的端点。 |
部署方案
下面介绍了几种常见的部署情形。它们是根据ONTAP在本地执行令牌验证还是授权服务器在远程执行令牌验证进行组织的。每个方案都包含一个所需配置选项的列表。请参见 "在ONTAP中部署OAuth2.0" 有关配置命令的示例。
|
定义授权服务器后、您可以通过ONTAP管理界面显示其配置。例如、使用命令 security oauth2 client show 使用ONTAP命令行界面。
|
本地验证
以下部署方案基于ONTAP在本地执行令牌验证的结果。
这是仅使用OAuth2.0自包含范围的最简单部署。不使用任何本地ONTAP标识定义。您需要包含以下参数:
-
Name
-
应用程序(http)
-
提供程序JWKS URI
-
颁发者URI
您还需要在授权服务器上添加范围。
此部署方案使用OAuth2.0自包含范围。不使用任何本地ONTAP标识定义。但授权服务器受防火墙保护、因此您需要配置代理。您需要包含以下参数:
-
Name
-
应用程序(http)
-
提供程序JWKS URI
-
传出代理
-
颁发者URI
-
audience
您还需要在授权服务器上添加范围。
此部署方案使用具有默认名称映射的本地用户角色。远程用户声明使用的默认值 sub 因此、访问令牌中的此字段用于匹配本地用户名。用户名不得超过40个字符。授权服务器受防火墙保护、因此您还需要配置代理。您需要包含以下参数:
-
Name
-
应用程序(http)
-
提供程序JWKS URI
-
使用本地角色(如果存在) (
true) -
传出代理
-
颁发者
您需要确保将本地用户定义为ONTAP。
此部署方案使用本地用户角色以及用于匹配本地ONTAP用户的备用用户名。授权服务器受防火墙保护、因此您需要配置代理。您需要包含以下参数:
-
Name
-
应用程序(http)
-
提供程序JWKS URI
-
使用本地角色(如果存在) (
true) -
远程用户声明
-
传出代理
-
颁发者URI
-
audience
您需要确保将本地用户定义为ONTAP。
远程自省
以下部署配置基于ONTAP通过自省远程执行令牌验证。
这是一个基于使用OAuth2.0独立范围的简单部署。未使用任何ONTAP标识定义。必须包含以下参数:
-
Name
-
应用程序(http)
-
自省端点
-
客户端 ID
-
颁发者URI
您需要在授权服务器上定义范围以及客户端和客户端密钥。