使用组
ONTAP提供了多个选项、用于根据授权服务器配置组。然后、可以将这些组映射到ONTAP用来确定访问权限的角色。
如何标识组
在授权服务器上配置组时、该组将使用名称或UUID在OAuth2.0访问令牌中进行标识和承载。在配置ONTAP之前、您需要了解授权服务器如何处理组。
如果一个访问令牌中包含多个组、则ONTAP将尝试使用每个组、直到找到匹配项为止。 |
组名称
许多授权服务器使用名称来标识和表示组。下面是由包含多个组的Active Directory联合身份验证服务(Active Directory Federation Service、ADFS)生成的JSON访问令牌的一个片段。有关详细信息、请参见 管理具有名称的组 。
... "sub": "User1_TestDev@NICAD5.COM", "group": [ "NICAD5\\Domain Users", "NICAD5\\Development Group", "NICAD5\\Production Group" ], "apptype": "Confidential", "appid": "3bff3b2b-8e40-44ba-7c11-d73c3b76e3e8", ...
组UUID
某些授权服务器使用UUID来标识和表示组。下面是由Microsoft Entra ID生成的JSON访问令牌的一个片段、其中包含多个组。有关详细信息、请参见 管理具有UID的组 。
... "appid": "4aff4b4b-8e40-44ba-7c11-d73c3b76e3d7", "appidacr": "1", "groups": [ "8ea4c5b0-bcad-4e66-8f1e-cd395474a448", "a8558fc2-a1b2-4cb7-cc41-59bd831840cc"], "name": "admin007 with group membership", ...
管理具有名称的组
如果授权服务器使用名称来标识组、则需要确保将每个组定义为ONTAP。根据您的安全环境、您可能已经定义了组。
下面是一个命令行界面命令示例、用于将组定义为ONTAP。请注意、它使用的是样本访问令牌中的命名组。要发出此命令,您需要处于ONTAP *admin*权限级别。
security login create -user-or-group-name "NICAD5\\Domain Users" -application http -authentication-method domain -role admin
您也可以使用ONTAP REST API配置此功能。要了解更多信息,请访问 "ONTAP自动化文档"。 |
管理具有UID的组
如果授权服务器使用UUID值表示组、则在使用组之前、您需要执行两步配置。从Microsoft.161开始、提供了两个映射功能、并已通过ONTAP 9 ID测试。要发出命令行界面命令,您需要处于ONTAP *admin*权限级别。
您也可以使用ONTAP REST API配置这些功能。要了解更多信息,请访问 "ONTAP自动化文档"。 |
将组UUID映射到组名称
如果您使用的授权服务器使用UUID值表示组、则需要将组UUID映射到组名称。下面介绍了主要的ONTAP命令行界面操作。
创建
您可以使用命令定义新的组映射配置 security login group create
。组UUID和名称应与授权服务器上的配置匹配。
下面介绍了用于创建组映射的参数。
参数 | Description |
---|---|
|
(可选)指定与组关联的SVM (SVM)的名称。如果省略此参数、则该组将与ONTAP集群关联。 |
|
ONTAP将使用的组的唯一名称。 |
|
此值表示组的来源标识提供程序。 |
|
指定授权服务器提供的组的通用唯一标识符。 |
下面是一个命令行界面命令示例、用于将组定义为ONTAP。请注意、它使用的是示例访问令牌中的UUID组。
security login group create -vserver ontap-cls-1 -name IAM_Dev -type entra -uuid 8ea4c5b0-bcad-4e66-8f1e-cd395474a448
创建组后、将为该组生成唯一的只读整数标识符。
其他CLI操作
命令支持多项附加操作、包括:
-
显示
-
修改
-
删除
您可以使用 `show`选项检索为组生成的唯一组ID。有关详细信息、请参见ONTAP命令参考文档。
将组UUID映射到角色
如果您使用的授权服务器使用UUID值表示组、则可以将组映射到角色。下面介绍了主要的ONTAP命令行界面操作。此外,您需要处于ONTAP *admin*权限级别才能发出命令。
您需要首先将组UUID映射到组名称检索为组生成的唯一整数ID。您需要ID才能将组映射到角色。 |
创建
您可以使用命令定义新角色映射 security login group role-mapping create
。
下面介绍了用于将组映射到角色的参数。
参数 | Description |
---|---|
|
使用命令指定为组生成的唯一ID |
|
组映射到的ONTAP角色的名称。 |
security login group role-mapping create -group-id 1 -role admin
其他CLI操作
命令支持多项附加操作、包括:
-
显示
-
修改
-
删除
有关详细信息、请参见ONTAP命令参考文档。