OAuth2.0是一个授权框架、用于控制对受保护资源的访问。因此、任何部署的重要第一步都是确定可用资源是什么以及哪些客户端需要访问这些资源。

您需要确定哪些客户端在发出REST API调用时将使用OAuth2.0、以及它们需要访问哪些API端点。

您应查看现有ONTAP标识定义、包括REST角色和本地用户。根据您配置OAuth2.0的方式、可以使用这些定义来决定访问。

虽然您可以逐步实施OAuth2.0授权、但也可以通过为每个授权服务器设置一个全局标志、将所有REST API客户端立即迁移到OAuth2.0。这样、无需创建独立的范围、即可根据现有ONTAP配置做出访问决策。

授权服务器通过颁发访问令牌并强制实施管理策略、在OAuth2.0部署中发挥着重要作用。

您需要选择并安装一个或多个授权服务器。熟悉身份提供程序的配置选项和过程非常重要，包括如何定义范围。请注意、某些授权服务器(包括Microsoft Entra ID)使用UUID而不是名称来表示组。

ONTAP使用授权服务器的证书来验证客户端提供的签名访问令牌。为此、ONTAP需要根CA证书和任何中间证书。这些可能已随ONTAP预安装。如果不是、则需要安装它们。

如果授权服务器受防火墙保护、则需要将ONTAP配置为使用代理服务器。

您需要考虑客户端身份验证和授权的几个方面。

概括地说、您可以定义在授权服务器上定义的自包含范围、也可以依赖现有的本地ONTAP身份定义(包括角色和用户)。

如果您使用ONTAP标识定义、则必须确定要应用的定义、包括：

您需要确定访问令牌是由ONTAP在本地验证、还是通过自省在授权服务器验证。此外、还需要考虑几个相关值、例如刷新间隔。

对于需要高级别安全性的环境、您可以使用基于MTLS的发送受限访问令牌。这要求每个客户端都有一个证书。

如果您使用的授权服务器代表使用了UUID的组、则需要规划如何将这些组映射到组名称、并可能映射到关联角色。

您可以通过任意ONTAP接口来管理OAuth2.0、其中包括：

客户端应用程序必须直接从授权服务器请求访问令牌。您需要决定如何执行此操作、包括授予类型。

您需要执行多个ONTAP配置任务。

根据您的授权配置、可以使用本地ONTAP标识处理。在这种情况下、您需要查看并定义REST角色和用户定义。根据您的授权服务器、这可能还包括根据UUID值管理组。

执行核心ONTAP配置需要三个主要步骤、其中包括：