发行说明
OAuth2.0部署方案
建议更改
-
本文档站点的 PDF
-
NAS 存储管理
-
单独 PDF 文档的收集
Creating your file...
在为ONTAP定义授权服务器时、可以使用多个配置选项。根据这些选项、您可以创建适合您的部署环境的授权服务器。
配置参数摘要
在为ONTAP定义授权服务器时、可以使用多个配置参数。通常、所有管理界面都支持这些参数。
根据ONTAP管理界面的不同、参数名称可能略有不同。例如、在配置远程自省时、可以使用命令行界面命令参数来标识端点 -introspection-endpoint。但对于System Manager、等效字段为_Authorizationserver令牌自省URI_。为了支持所有ONTAP管理界面、提供了参数的常规问题描述。根据上下文、确切的参数或字段应显而易见。
| 参数 | Description |
|---|---|
Name |
ONTAP已知的授权服务器名称。 |
应用程序 |
ONTAP内部应用程序定义适用场景。此参数必须为*http*。 |
颁发者URI |
FQDN、其中包含用于标识发出令牌的站点或组织的路径。 |
提供程序JWKS URI |
包含路径和文件名的FQDN、ONTAP可从中获取用于验证访问令牌的JSON Web密钥集。 |
JWKS刷新间隔 |
确定ONTAP刷新提供程序JWKS URI中证书信息的频率的时间间隔。该值以ISO-8601格式指定。 |
自省端点 |
包含ONTAP用于通过自省执行远程令牌验证的路径的FQDN。 |
客户端 ID |
在授权服务器上定义的客户端名称。如果包含此值、则还需要根据接口提供关联的客户端密钥。 |
传出代理 |
这是为了在ONTAP受防火墙保护时提供对授权服务器的访问。此URI必须采用CURL格式。 |
使用本地角色(如果存在) |
一个布尔值标志、用于确定是否使用本地ONTAP定义、包括已命名的REST角色和本地用户。 |
删除用户声明 |
ONTAP用于匹配本地用户的备用名称。使用 |
部署方案
下面介绍了几种常见的部署情形。它们是根据ONTAP在本地执行令牌验证还是授权服务器在远程执行令牌验证进行组织的。每个方案都包含一个所需配置选项的列表。请参见 "在ONTAP中部署OAuth2.0" 有关配置命令的示例。
|
定义授权服务器后、您可以通过ONTAP管理界面显示其配置。例如、使用命令 security oauth2 client show 使用ONTAP命令行界面。
|
本地验证
以下部署方案基于ONTAP在本地执行令牌验证的结果。
这是仅使用OAuth2.0自包含范围的最简单部署。不使用任何本地ONTAP标识定义。您需要包含以下参数:
-
Name
-
应用程序(http)
-
提供程序JWKS URI
-
颁发者URI
您还需要在授权服务器上添加范围。
此部署方案使用OAuth2.0自包含范围。不使用任何本地ONTAP标识定义。但授权服务器受防火墙保护、因此您需要配置代理。您需要包含以下参数:
-
Name
-
应用程序(http)
-
提供程序JWKS URI
-
传出代理
-
颁发者URI
-
audience
您还需要在授权服务器上添加范围。
此部署方案使用具有默认名称映射的本地用户角色。远程用户声明使用的默认值 sub 因此、访问令牌中的此字段用于匹配本地用户名。用户名不得超过40个字符。授权服务器受防火墙保护、因此您还需要配置代理。您需要包含以下参数:
-
Name
-
应用程序(http)
-
提供程序JWKS URI
-
使用本地角色(如果存在) (
true) -
传出代理
-
颁发者
您需要确保将本地用户定义为ONTAP。
此部署方案使用本地用户角色以及用于匹配本地ONTAP用户的备用用户名。授权服务器受防火墙保护、因此您需要配置代理。您需要包含以下参数:
-
Name
-
应用程序(http)
-
提供程序JWKS URI
-
使用本地角色(如果存在) (
true) -
远程用户声明
-
传出代理
-
颁发者URI
-
audience
您需要确保将本地用户定义为ONTAP。
远程自省
以下部署配置基于ONTAP通过自省远程执行令牌验证。
这是一个基于使用OAuth2.0独立范围的简单部署。未使用任何ONTAP标识定义。必须包含以下参数:
-
Name
-
应用程序(http)
-
自省端点
-
客户端 ID
-
颁发者URI
您需要在授权服务器上定义范围以及客户端和客户端密钥。