ONTAP 用戶端授權的總覽與選項
建議變更
PDF
ONTAP OAUTH 2.0 實作的設計既靈活又穩健,提供您保護 ONTAP 環境所需的功能。有多種互斥的組態選項可供選擇。授權決策最終取決於 OAuth 2.0 存取權杖中包含或衍生的 ONTAP REST 角色。
|
您只能使用 "ONTAP REST 角色" 設定 OAuth 2.0 授權時。不支援舊版 ONTAP 傳統角色。 |
ONTAP 會根據您的組態,套用最適當的單一授權選項。如需 ONTAP 如何做出用戶端存取決策的詳細資訊,請參閱"ONTAP 如何決定存取"。
這些範圍包含一或多個自訂 REST 角色,每個角色都封裝在存取權杖中的單一字串內。它們不受 ONTAP 角色定義的影響。您需要在授權伺服器上設定範圍字串。如需詳細資訊、請參閱 "獨立 OAuth 2.0 範圍" 。
可以使用單一命名 REST 角色,無論是內建或自訂。命名角色的範圍語法是 *ONTAP 角色 <URL-encoded-ONTAP-role-name> 。例如,如果 ONTAP 角色是範圍字串,則 admin`為 `ontap-role-admin。
您可以使用存取權杖中定義的使用者名稱,以存取應用程式「 http 」。根據定義的驗證方法,以下列順序測試使用者:密碼,網域( Active Directory ), nsswitch ( LDAP )。
授權伺服器可設定為使用 ONTAP 群組進行授權。如果檢查本機 ONTAP 定義、但無法做出存取決定、則會使用 Active Directory (「網域」)或 LDAP (「 nsswitch 」)群組。群組資訊可透過下列兩種方式之一來指定:
-
OAuth 2.0 範圍字串
支援使用用戶端認證流程的機密應用程式、而該流程沒有使用者擁有群組成員資格。範圍應命名為 *ONTAP 群組 <URL-encoded-ONTAP-group-name> 。例如、如果群組為「開發」、範圍字串將為「 ontap 群組開發」。
-
在「群組」請款中
這是針對使用資源擁有者(密碼授予)流程的 ADFS 所發行的存取權杖。
如需詳細資訊、請參閱 "與小組合作" 。