Skip to main content
AI Data Engine
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在 ONTAP 中為 AIDE 設定 OpenID Connect

貢獻者 dmp-netapp netapp-bhouser netapp-dbagwell
PDF

身為 ONTAP 叢集管理員,您可以使用 ONTAP System Manager 為 AI Data Engine(AIDE)叢集配置 OpenID Connect(OIDC)驗證。這可以透過外部身分識別提供者(IdP)提供安全集中的登入。

警告 您必須配置 OIDC 才能存取 AI Data Engine Console。配置完成後,所有身份驗證流程都將透過 OIDC 進行。如果未配置 OIDC,管理員、資料工程師和資料科學家都將無法存取該主控台。在這種情況下,登入 System Manager 將恢復為本機身份驗證。

另請注意以下關於 AIDE 存取的 OIDC 組態:

  • 您無法修改現有的 OIDC 配置。如果需要更改,請先刪除現有配置,然後使用所需的設定建立新配置。

  • 如果停用或移除 OIDC,System Manager 將恢復為本機 ONTAP 使用者身份驗證。

OIDC 概述

OpenID Connect (OIDC) 是一種基於 OAuth 2.0 框架的驗證協定。它擴展了主要用於授權的 OAuth 2.0,增加了一個身分層。OIDC 引入了 ID 令牌的概念,ID 令牌是一種 JSON Web Token (JWT),其中包含有關身份驗證事件和使用者身分的聲明。

您需要選擇並配置 AFX 與 AIDE 支援的外部身分提供者(IdP)。IdP 會對使用者進行驗證並頒發權杖,AFX 可透過 System Manager 使用這些權杖來授予對 AI Data Engine Console 的存取權。

配置第三方身分提供者

若要使用 OIDC 進行身份驗證,您需要先設定外部身分提供者(IdP)。ONTAP 實作的 OIDC 使用令牌中的角色宣告來強制執行基於角色的存取控制(RBAC)。設定 IdP 時,請確保將其配置為在 ID 令牌和存取權杖中傳回角色宣告。ONTAP 支援兩種IdPs用於 OIDC 驗證:Entra ID 和 Active Directory 聯合驗證服務(AD FS)。

Entra ID

您可以使用以下主要步驟設定 Entra ID:

  1. 在 Entra ID 設定頁面建立新的應用程式註冊資訊。

  2. 將 Redirect URI(Web)值設為 https://$CLUSTER_MGMT_IP/oidc/callback,替換為對應的叢集管理 IP 位址或 FQDN。

  3. 在 App Roles 下建立所需角色,並將其指派給您的使用者。

  4. 在 Token Configuration 下更新令牌聲明,以傳回 id-token 和 access-token 中的角色。

請參閱 "使用 Entra ID 設定 OpenID Connect 供應商"以取得更多資訊。

Active Directory Federation Services

您可以使用下列進階步驟設定 AD FS :

  1. 建立新的 Application Group 並選擇 Server application accessing a web API

  2. 將 Redirect URI(Web)值設為 https://$CLUSTER_MGMT_IP/oidc/callback,替換為對應的叢集管理 IP 位址或 FQDN。

  3. 配置聲明以在令牌中傳回角色。

請參閱 "新增 AD FS 作為 OpenID Connect 身分提供者"以取得更多資訊。

在 System Manager 中設定 OIDC

設定身分提供者(IdP)後,您可以在 System Manager 中設定 OIDC 驗證,以啟用對 AI Data Engine Console 的安全存取。

開始之前

  • 您需要擁有 System Manager 的管理員存取權限。

  • 您的 OIDC 身分提供者必須已設定且可存取。

步驟

  1. 在 System Manager 中、選取 * 叢集 * 、然後選取 * 設定 * ;找到 OpenID Connect 卡。

  2. 如果 OIDC 已配置,您可以編輯或停用該配置。如果 OIDC 尚未配置,請選擇 齒輪圖示 開始設定程序。

  3. 在 Configure OpenID Connect 下,為以下欄位提供值:

    • 提供者

    • 發行人

    • JSON Web 金鑰集 URI

    • 授權端點

    • 權杖端點

    • 結束工作階段端點

    • 存取權杖簽發者(選用)

  4. 在用戶端組態下,提供下列欄位的值:

    • 客戶 ID

    • 遠端使用者宣告

    • 重新整理間隔

  5. 在「連接詳細資料」下,為以下欄位提供值:

    • 叢集 IP 位址或 FQDN

    • 傳出 Proxy(選用)

  6. 在「外部角色映射」下,選擇現有角色映射或為 ONTAP admin 使用者定義新角色。

  7. 選擇 立即啟用,然後選擇 儲存。System Manager 將重新整理以套用新的驗證設定。

  8. 使用您的 IdP 憑證登入;驗證成功後,您將返回 System Manager。

相關資訊