Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

授權伺服器和存取權杖

貢獻者
PDF

授權伺服器會在 OAuth 2.0 授權架構中執行多項重要功能、做為中央元件。

OAuth 2.0 授權伺服器

授權伺服器主要負責建立和簽署存取權杖。這些權杖包含身分識別與授權資訊、可讓用戶端應用程式選擇性地存取受保護的資源。這些伺服器通常彼此隔離、可透過多種不同方式實作、包括獨立的專用伺服器、或是作為較大型的身分識別與存取管理產品的一部分。

註 授權伺服器有時會使用不同的術語、尤其是 OAuth 2.0 功能會封裝在較大的身分識別與存取管理產品或解決方案中。例如,術語 * 身分識別提供者( IDP ) * 經常與 * 授權伺服器 * 互換使用。

系統管理

除了發行存取權杖之外、授權伺服器也會提供相關的管理服務、通常是透過 Web 使用者介面。例如、您可以定義和管理:

  • 使用者和使用者驗證

  • 範圍

  • 透過租戶和領域進行管理隔離

  • 原則強制執行

  • 連線至各種外部服務

  • 支援其他身分識別傳輸協定(例如 SAML )

ONTAP 與符合 OAuth 2.0 標準的授權伺服器相容。

定義至 ONTAP

您需要定義一或多個 ONTAP 授權伺服器。ONTAP 會安全地與每部伺服器通訊、以驗證權杖、並執行其他相關工作來支援用戶端應用程式。

ONTAP 組態的主要層面如下所示。另請參閱 "OAuth 2.0 部署案例" 以取得更多資訊。

存取權杖的驗證方式與位置

驗證存取權杖有兩個選項。

  • 本機驗證

    ONTAP 可以根據發行權杖的授權伺服器所提供的資訊、在本機驗證存取權杖。從授權伺服器擷取的資訊會由 ONTAP 快取、並定期重新整理。

  • 遠端自我反思

    您也可以使用遠端自我反思來驗證授權伺服器上的權杖。introspection 是一種允許授權方查詢授權伺服器有關存取權杖的通訊協定。它提供 ONTAP 從存取權杖擷取特定中繼資料並驗證權杖的方法。由於效能原因、 ONTAP 會快取部分資料。

網路位置

ONTAP 可能位於防火牆後方。在這種情況下、您需要將 Proxy 識別為組態的一部分。

授權伺服器的定義方式

您可以使用任何管理介面(包括 CLI 、系統管理員或 REST API )來定義 ONTAP 的授權伺服器。例如、您可以使用 CLI 使用命令 security oauth2 client create

授權伺服器數量

您最多可以定義八個授權伺服器到單一 ONTAP 叢集。只要發卡行或發卡行 / 受眾聲明是唯一的、同一授權伺服器就可以多次定義到同一個 ONTAP 叢集。例如、使用 Keycloak 時、使用不同領域時、這種情況永遠都會發生。

使用 OAuth 2.0 存取權杖

由授權伺服器發出的 OAuth 2.0 存取權杖是由 ONTAP 驗證、用於為 REST API 用戶端要求做出角色型存取決策。

取得存取權杖

您需要從定義至 ONTAP 叢集的授權伺服器取得存取權杖、以便在其中使用 REST API 。若要取得權杖、您必須直接聯絡授權伺服器。

警告 ONTAP 不會核發存取權杖、也不會將用戶端的要求重新導向至授權伺服器。

您要求權杖的方式取決於多項因素、包括:

  • 授權伺服器及其組態選項

  • OAuth 2.0 授與類型

  • 用於發出要求的用戶端或軟體工具

授與類型

_Grant 是定義完善的程序、包括一組網路流量、用於要求及接收 OAuth 2.0 存取權杖。視用戶端、環境和安全性需求而定、可使用多種不同的授與類型。下表列出熱門的補助類型清單。

授與類型 說明

用戶端認證

一種僅使用認證(例如 ID 和共用密碼)的常用授與類型。假設用戶端與資源擁有者有密切的信任關係。

密碼

資源擁有者密碼認證授與類型可用於資源擁有者與用戶端建立信任關係的情況。將舊版 HTTP 用戶端移轉至 OAuth 2.0 時、這項功能也很實用。

授權代碼

這是機密用戶端的理想授與類型、是以重新導向為基礎的流程為基礎。它可用於取得存取權杖和重新整理權杖。

JWT 內容

OAuth 2.0 存取權杖格式化為 JWT 。內容是由授權伺服器根據您的組態建立。不過、這些 Token 對用戶端應用程式來說是不透明的。用戶端沒有理由檢查權杖或是知道其內容。

每個 JWT 存取權杖都包含一組宣告。聲明說明發卡行的特性、以及根據授權伺服器的管理定義進行的授權。下表說明部分已登錄於標準的索賠。所有字串都區分大小寫。

請款 關鍵字 說明

發卡行

ISS

識別發出權杖的主體。請款處理是針對特定應用程式。

主旨

權杖的主旨或使用者。名稱的範圍是全域或本機唯一的。

目標對象

AUD

權杖的目標收件者。以字串陣列形式實作。

過期

到期

權杖過期且必須拒絕的時間。

請參閱 "RFC 7519 : JSON Web Token" 以取得更多資訊。