版本資訊
ONTAP OAuth 2.0 實作總覽
建議變更
-
此文件 PDF 的網站
-
NAS儲存管理
-
個別的 PDF 文件集合
Creating your file...
從 ONTAP 9.14 開始、您可以選擇使用開放授權( OAuth 2.0 )架構來控制對 ONTAP 叢集的存取。您可以使用任何 ONTAP 管理介面(包括 ONTAP CLI 、系統管理員和 REST API )來設定此功能。不過、 OAuth 2.0 授權和存取控制決策只能在用戶端使用 REST API 存取 ONTAP 時套用。
|
OAuth 2.0 支援是 ONTAP 9.14.0 首次推出、因此可用度取決於您使用的 ONTAP 版本。請參閱 "發行說明ONTAP" 以取得更多資訊。 |
功能與優勢
以下說明搭配 ONTAP 使用 OAuth 2.0 的主要功能與優點。
OAuth 2.0 是業界標準授權架構。它可用來限制及控制使用簽署存取權杖來存取受保護資源的權限。使用 OAuth 2.0 有幾個好處:
-
授權組態有許多選項
-
切勿洩漏用戶端認證、包括密碼
-
您可以根據組態將權杖設定為過期
-
非常適合與 REST API 搭配使用
ONTAP OAuth 2.0 實作已針對數個熱門伺服器或服務進行測試,其依據為 ONTAP 版本,如下所示:
-
ONTAP 9 。 16.1 (支援群組 UUID 至名稱對應和外部角色):
-
Microsoft Entra ID
-
-
ONTAP 9 。 14.1 (支援標準 OAuth 2.0 功能)
-
驗證0
-
Active Directory Federation Service ( ADFS )
-
Keycloak
-
如需每個 ONTAP 版本可用功能的詳細資訊,請參閱"授權伺服器和存取權杖"。
您最多可以為單一 ONTAP 叢集定義八個授權伺服器。如此一來、您就能靈活地滿足各種安全環境的需求。
ONTAP 授權決策最終取決於指派給使用者或群組的其餘角色。這些角色可在存取權杖中作為獨立範圍、或是根據本機 ONTAP 定義以及 Active Directory 或 LDAP 群組來執行。
您可以將 ONTAP 和授權伺服器設定為使用相互傳輸層安全性( MTLS )、以強化用戶端驗證。它保證 OAuth 2.0 存取權杖只能由最初核發的用戶端使用。此功能支援並符合數項常用的安全性建議、包括由 FAPI 和斜接建立的建議。
實作與組態
在較高層級、 OAuth 2.0 實作和組態有幾個層面、您應該在開始使用時考慮。
OAuth 2.0 授權架構定義了數個實體、可對應至資料中心或網路中的實際或虛擬元素。下表列出 OAuth 2.0 實體及其對 ONTAP 的調適。
| OAuth 2.0 實體 | 說明 |
|---|---|
資源 |
REST API 端點、可透過內部 ONTAP 命令存取 ONTAP 資源。 |
資源擁有者 |
建立受保護資源或依預設擁有資源的 ONTAP 叢集使用者。 |
資源伺服器 |
受保護資源的主機、即 ONTAP 叢集。 |
用戶端 |
代表或取得資源擁有者權限、要求存取 REST API 端點的應用程式。 |
授權伺服器 |
通常是負責發行存取權杖和強制執行管理原則的專用伺服器。 |
您需要設定 ONTAP 叢集以啟用和使用 OAuth 2.0 。這包括建立與授權伺服器的連線、以及定義所需的 ONTAP 授權組態。您可以使用任何管理介面來執行此組態、包括:
-
指令行介面ONTAP
-
系統管理員
-
靜態API ONTAP
除了 ONTAP 定義之外、您也需要設定授權伺服器。如果您使用群組對角色對應、也需要設定 Active Directory 群組或 LDAP 等量。
從 ONTAP 9.14 開始、 REST API 用戶端可以使用 OAuth 2.0 存取 ONTAP 。在發出 REST API 呼叫之前、您需要從授權伺服器取得存取權杖。然後、用戶端使用 HTTP 授權要求標頭、將此權杖以 _bon承載 權杖的形式傳送至 ONTAP 叢集。視所需的安全性層級而定、您也可以在用戶端建立及安裝憑證、以使用以 MTLS 為基礎的寄件者限制權杖。
選定的術語
當您開始使用 ONTAP 探索 OAuth 2.0 部署時、熟悉其中一些詞彙是很有幫助的。請參閱 "其他資源" 取得有關 OAuth 2.0 的詳細資訊連結。
- 存取權杖
-
由授權伺服器發出的權杖、由 OAuth 2.0 用戶端應用程式用來發出存取受保護資源的要求。
- JSON Web Token
-
用於格式化存取權杖的標準。JSON 用於以精簡格式呈現 OAuth 2.0 宣告、並將宣告分為三個主要區段。
- 寄件者限制的存取權杖
-
以相互傳輸層安全性( MTLS )傳輸協定為基礎的選用功能。藉由在權杖中使用額外的確認宣告、這可確保存取權杖僅供最初核發的用戶端使用。
- JSON Web 金鑰集
-
JWKS 是 ONTAP 用來驗證用戶端所呈現 JWT Token 的公開金鑰集合。金鑰集通常可透過專用 URI 在授權伺服器上使用。
- 範圍
-
範圍提供一種方法來限制或控制應用程式對受保護資源(例如 ONTAP REST API )的存取。它們在存取權杖中以字串表示。
- ONTAP REST 角色
-
REST 角色是 ONTAP 9.6 引進的、是 ONTAP RBAC 架構的核心部分。這些角色與 ONTAP 仍支援的舊版傳統角色不同。ONTAP 中的 OAuth 2.0 實作僅支援 REST 角色。
- HTTP 授權標頭
-
HTTP 要求中包含的標頭、用於在進行 REST API 呼叫時識別用戶端及相關權限。視驗證和授權的執行方式而定、有多種類型或實作可供選擇。將 OAuth 2.0 存取權杖呈現給 ONTAP 時、該權杖會識別為 _stoning 權杖 _ 。
- HTTP 基本驗證
-
ONTAP 仍支援早期的 HTTP 驗證技術。純文字認證(使用者名稱和密碼)會與冒號串連、並以 base64 編碼。字串會放在授權要求標頭中、並傳送至伺服器。
- FAPI
-
OpenID Foundation 的工作群組、為金融產業提供通訊協定、資料架構及安全建議。API 原本稱為財務等級 API 。
- 斜接
-
一家私人非營利公司、為美國空軍和美國政府提供技術與安全指引。
其他資源
以下提供幾項額外資源。您應該檢閱這些網站、以取得有關 OAuth 2.0 及相關標準的更多資訊。
