Skip to main content
AI Data Engine
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在 ONTAP 中為 AIDE 設定 OpenID Connect

貢獻者 dmp-netapp netapp-dbagwell netapp-bhouser
PDF

身為 ONTAP 叢集管理員,您可以使用 ONTAP System Manager 為 AI Data Engine(AIDE)叢集配置 OpenID Connect(OIDC)驗證。這可以透過外部身分識別提供者(IdP)提供安全集中的登入。

警告 您必須設定 OIDC 才能存取 AIDE Console。設定完成後,所有驗證都會透過 OIDC 進行。如果未設定 OIDC,管理員、資料工程師和資料科學家都將無法使用主控台。在這種情況下,登入 System Manager 會還原為本機驗證。

另請注意以下關於 AIDE 存取的 OIDC 組態:

  • 從整體來看,OIDC 配置包含兩個主要步驟。首先,您需要使用 System Manager 執行基本的 OIDC 配置。然後,您可以使用 ONTAP CLI 設定外部角色映射,從而完成設定。

  • 您無法修改現有的 OIDC 配置。如果需要更改,請先刪除現有配置,然後使用所需的設定建立新配置。

  • 如果停用或移除 OIDC,System Manager 將恢復為本機 ONTAP 使用者身份驗證。

OIDC 概述

OpenID Connect (OIDC) 是一種基於 OAuth 2.0 框架的驗證協定。它擴展了主要用於授權的 OAuth 2.0,增加了一個身分層。OIDC 引入了 ID 令牌的概念,ID 令牌是一種 JSON Web Token (JWT),其中包含有關身份驗證事件和使用者身分的聲明。

您需要選擇並配置一個 AFX 支援的外部身分提供者(IdP),以便 AIDE 能夠正常運作。IdP 會對使用者進行驗證並頒發令牌,AFX 可以透過 System Manager 使用這些令牌來授予使用者對 AIDE Console 的存取。

配置第三方身分提供者

若要使用 OIDC 進行身份驗證,您需要先設定外部身分提供者(IdP)。ONTAP 實作的 OIDC 使用令牌中的角色宣告來強制執行基於角色的存取控制(RBAC)。設定 IdP 時,請確保將其配置為在 ID 令牌和存取權杖中傳回角色宣告。ONTAP 支援兩種IdPs用於 OIDC 驗證:Entra ID 和 Active Directory 聯合驗證服務(AD FS)。

Entra ID

您可以使用以下主要步驟設定 Entra ID:

  1. 在 Entra ID 設定頁面建立新的應用程式註冊資訊。

  2. 將 Redirect URI(Web)值設為 https://$CLUSTER_MGMT_IP/oidc/callback,替換為對應的叢集管理 IP 位址或 FQDN。

  3. 在 App Roles 下建立所需角色,並將其指派給您的使用者。

  4. 在 Token Configuration 下更新令牌聲明,以傳回 id-token 和 access-token 中的角色。

請參閱 "使用 Entra ID 設定 OpenID Connect 供應商"以取得更多資訊。

Active Directory Federation Services

您可以使用下列進階步驟設定 AD FS :

  1. 建立新的 Application Group 並選擇 Server application accessing a web API

  2. 將 Redirect URI(Web)值設為 https://$CLUSTER_MGMT_IP/oidc/callback,替換為對應的叢集管理 IP 位址或 FQDN。

  3. 配置聲明以在令牌中傳回角色。

請參閱 "新增 AD FS 作為 OpenID Connect 身分提供者"以取得更多資訊。

在 System Manager 中設定 OIDC

設定身分提供者(IdP)後、您可以在 System Manager 中設定 OIDC 驗證、以啟用對 AIDE Console 的安全存取。

提示 您可以提供中繼資料 URI,以便在 System Manager 中自動填入 OIDC 組態欄位。請查閱您的 IdP 文件,以取得確切的 URI 格式。
開始之前

  • 您需要擁有 System Manager 的管理員存取權限。

  • 您的 OIDC 身分提供者必須已設定且可存取。

步驟

  1. 在 System Manager 中、選取 * 叢集 * 、然後選取 * 設定 * ;找到 OpenID Connect 卡。

  2. 如果 OIDC 已配置,您可以編輯或停用該配置。如果 OIDC 尚未配置,請選擇 齒輪圖示 開始設定程序。

  3. 在 Configure OpenID Connect 下,為以下欄位提供值:

    • 提供者

    • 發行人

    • JSON Web 金鑰集 URI

    • 授權端點

    • 權杖端點

    • 結束工作階段端點

    • 存取權杖簽發者(選用)

  4. 在用戶端組態下,提供下列欄位的值:

    • 客戶 ID

    • 遠端使用者宣告

    • 重新整理間隔

  5. 在「連接詳細資料」下,為以下欄位提供值:

    • 叢集 IP 位址或 FQDN

    • 傳出 Proxy(選用)

  6. 在「外部角色映射」下,選擇現有角色映射或為 ONTAP admin 使用者定義新角色。

  7. 選擇 立即啟用,然後選擇 儲存。System Manager 將重新整理以套用新的驗證設定。

  8. 使用您的 IdP 憑證登入;驗證成功後,您將返回 System Manager。

完成後

透過設定外部角色對應來完成 OIDC 設定。

使用 CLI 設定外部角色對應

外部角色對應是 ONTAP 的功能,可讓您將外部身分提供者(IdP)角色對應到對應的 ONTAP 角色。您需要設定此對應,以確保透過 OIDC 進行驗證的使用者在 ONTAP 中被授予適當的 RBAC 權限。

關於此任務

此任務將資料工程師和資料科學家對應到對應的 ONTAP 角色。您需要根據您的環境,使用適當的角色名稱更新命令範例。請注意,您應該已經在 System Manager 中配置基本 OIDC 時將儲存管理員角色對應到 ONTAP admin 角色。

步驟

  1. 使用 SSH ,透過具有管理員權限的帳戶登入 ONTAP CLI 。

  2. 設定資料工程師角色的角色對應;例如:

    security login external-role-mapping create -external-role dataEngineer -provider entra -ontap-role data-engineer

  3. 設定資料科學家角色的角色對應;例如:

    security login external-role-mapping create -external-role dataScientist -provider entra -ontap-role data-scientist

相關資訊