Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

准备使用ONTAP部署OAuth2.0

贡献者
PDF

在ONTAP环境中配置OAuth2.0之前、您应做好部署准备。主要任务和决定摘要如下。各部分的排列通常与您应遵循的顺序一致。但是、虽然它适用于大多数部署、但您应根据需要对其进行调整以适应您的环境。您还应考虑制定正式的部署计划。

提示 您可以根据您的环境为定义给ONTAP的授权服务器选择配置。其中包括您需要为每种部署类型指定的参数值。请参见 "OAuth2.0部署方案" 有关详细信息 …​

受保护的资源和客户端应用程序

OAuth2.0是一个授权框架、用于控制对受保护资源的访问。因此、任何部署的重要第一步都是确定可用资源是什么以及哪些客户端需要访问这些资源。

识别客户端应用程序

您需要确定哪些客户端在发出REST API调用时将使用OAuth2.0、以及它们需要访问哪些API端点。

查看现有ONTAP REST角色和本地用户

您应查看现有ONTAP标识定义、包括REST角色和本地用户。根据您配置OAuth2.0的方式、可以使用这些定义来决定访问。

全局过渡到OAuth2.0

虽然您可以逐步实施OAuth2.0授权、但也可以通过为每个授权服务器设置一个全局标志、将所有REST API客户端立即迁移到OAuth2.0。这样、无需创建独立的范围、即可根据现有ONTAP配置做出访问决策。

授权服务器

授权服务器通过颁发访问令牌并强制实施管理策略、在OAuth2.0部署中发挥着重要作用。

选择并安装授权服务器

您需要选择并安装一个或多个授权服务器。熟悉身份提供程序的配置选项和过程非常重要,包括如何定义范围。

确定是否需要安装授权根CA证书

ONTAP使用授权服务器的证书来验证客户端提供的签名访问令牌。为此、ONTAP需要根CA证书和任何中间证书。这些可能已随ONTAP预安装。如果不是、则需要安装它们。

评估网络位置和配置

如果授权服务器受防火墙保护、则需要将ONTAP配置为使用代理服务器。

客户端身份验证和授权

您需要考虑客户端身份验证和授权的几个方面。

自包含范围或本地ONTAP标识定义

概括地说、您可以定义在授权服务器上定义的自包含范围、也可以依赖现有的本地ONTAP身份定义(包括角色和用户)。

具有本地ONTAP处理的选项

如果您使用ONTAP标识定义、则必须确定要应用的定义、包括:

  • 已命名REST角色

  • 匹配本地用户

  • Active Directory或LDAP组

本地验证或远程自省

您需要确定访问令牌是由ONTAP在本地验证、还是通过自省在授权服务器验证。此外、还需要考虑几个相关值、例如刷新间隔。

受发件人限制的访问令牌

对于需要高级别安全性的环境、您可以使用基于MTLS的发送受限访问令牌。这要求每个客户端都有一个证书。

管理界面

您可以通过任意ONTAP接口来管理OAuth2.0、其中包括:

  • 命令行界面

  • System Manager

  • REST API

客户端如何请求访问令牌

客户端应用程序必须直接从授权服务器请求访问令牌。您需要决定如何执行此操作、包括授予类型。

配置 ONTAP

您需要执行多个ONTAP配置任务。

定义REST角色和本地用户

根据您的授权配置、可以使用本地ONTAP标识处理。在这种情况下、您需要查看并定义REST角色和用户定义。

核心配置

执行核心ONTAP配置需要三个主要步骤、其中包括:

  • (可选)为签署授权服务器证书的CA安装根证书(以及任何中间证书)。

  • 定义授权服务器。

  • 为集群启用OAuth2.0处理。