版本資訊
準備使用 ONTAP 部署 OAuth 2.0
建議變更
-
此文件 PDF 的網站
-
NAS儲存管理
-
個別的 PDF 文件集合
Creating your file...
在 ONTAP 環境中設定 OAuth 2.0 之前、您應該先準備部署。主要任務和決定摘要如下。各節的排列方式通常與您應遵循的順序一致。不過、雖然它適用於大多數的部署、但您應該視需要調整以符合您的環境。您也應該考慮建立正式的部署計畫。
|
根據您的環境、您可以為定義為 ONTAP 的授權伺服器選取組態。這包括您需要針對每種部署類型指定的參數值。請參閱 "OAuth 2.0 部署案例" 以取得更多資訊。 |
受保護的資源和用戶端應用程式
OAuth 2.0 是一個授權架構、用於控制受保護資源的存取。有鑑於此、任何部署的重要第一步、就是判斷可用資源為何、以及哪些用戶端需要存取這些資源。
您需要決定在發出 REST API 呼叫時、哪些用戶端會使用 OAuth 2.0 、以及哪些 API 端點需要存取。
您應該檢閱現有的 ONTAP 身分識別定義、包括其餘角色和本機使用者。視您設定 OAuth 2.0 的方式而定、這些定義可用於做出存取決策。
雖然您可以逐步實作 OAuth 2.0 授權、但也可以為每個授權伺服器設定全域旗標、立即將所有其餘 API 用戶端移至 OAuth 2.0 。如此一來、就能根據現有的 ONTAP 組態來做出存取決策、而無需建立獨立的範圍。
授權伺服器
授權伺服器在 OAuth 2.0 部署中扮演重要角色、方法是核發存取權杖並強制執行管理原則。
您需要選取並安裝一或多個授權伺服器。請務必熟悉身分識別供應商的組態選項和程序、包括如何定義範圍。
ONTAP 使用授權伺服器的憑證來驗證用戶端所提供的已簽署存取權杖。為達此目的、 ONTAP 需要根 CA 憑證和任何中繼憑證。這些可能已預先安裝在 ONTAP 中。如果沒有、您需要安裝它們。
如果授權伺服器位於防火牆之後、則需要將 ONTAP 設定為使用 Proxy 伺服器。
用戶端驗證與授權
您需要考量用戶端驗證和授權的幾個層面。
在高層級、您可以定義在授權伺服器上定義的自我包含範圍、或是仰賴現有的本機 ONTAP 身分識別定義、包括角色和使用者。
如果您使用 ONTAP 身分識別定義、則必須決定要套用的項目、包括:
-
具名 REST 角色
-
符合本機使用者
-
Active Directory 或 LDAP 群組
您需要決定存取權杖是由 ONTAP 在本機驗證、還是透過自我反省在授權伺服器驗證。也有幾個相關的值需要考量、例如重新整理時間間隔。
對於需要高安全性的環境、您可以使用以 MTLS 為基礎的傳送限制存取權杖。這需要每個用戶端的憑證。
您可以透過任何 ONTAP 介面執行 OAuth 2.0 管理、包括:
-
命令列介面
-
系統管理員
-
REST API
用戶端應用程式必須直接從授權伺服器要求存取權杖。您需要決定如何執行、包括授與類型。
設定ONTAP 功能
您需要執行幾項 ONTAP 組態工作。
根據您的授權組態、可使用本機 ONTAP 識別處理。在這種情況下、您需要檢閱並定義其餘角色和使用者定義。
執行核心 ONTAP 組態需要三個主要步驟、包括:
-
您也可以為簽署授權伺服器憑證的 CA 安裝根憑證(及任何中繼憑證)。
-
定義授權伺服器。
-
啟用叢集的 OAuth 2.0 處理。