エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

OAuth 2.0の導入シナリオ

ONTAPに許可サーバーを定義する際には、いくつかの設定オプションが用意されています。これらのオプションを使用することで、導入環境に適した許可サーバーを作成できます。

設定パラメーターの概要

ONTAPに許可サーバーを定義する際には、いくつかの設定パラメーターを使用できます。これらのパラメーターは、通常はどの管理インターフェイスでもサポートされています。

パラメーター名は、ONTAP管理インターフェイスに応じて若干異なります。たとえば、リモート イントロスペクションを設定する場合、エンドポイントの特定には、CLIコマンド パラメーター-introspection-endpointを使用します。ONTAP System Managerでは、[Authorization server token introspection URI]がこれに相当するフィールドです。ここでは、すべてのONTAP管理インターフェイスに対応するために、パラメーターの一般的な概要を記載しています。文脈に応じて、正確なパラメーターやフィールドに読み替えてご利用ください。

パラメーター 説明

名前

ONTAPで認識されている認可サーバーの名前。

アプリケーション

ONTAP内部アプリケーション定義環境。これはhttpである必要があります。

発行者URI

トークンを発行するサイトまたは組織を識別するパスを持つFQDN。

プロバイダーJWKS URI

ONTAPがアクセストークンの検証に使用するJSON Webキーセットを取得するパスとファイル名を含むFQDN。

JWKS更新間隔

ONTAPがプロバイダーJWKS URIから証明書情報を更新する頻度を決定する時間間隔。値はISO-8601形式で指定します。

イントロスペクションエンドポイント

ONTAPがイントロスペクションを通じてリモートトークン検証を実行するために使用するパスを持つFQDN。

クライアント ID

認可サーバーで定義されているクライアントの名前。この値が含まれている場合は、インターフェイスに基づいて関連付けられたクライアントシークレットも指定する必要があります。

発信プロキシ

これは、ONTAPがファイアウォールの背後にある場合に、認可サーバーへのアクセスを提供するためです。URIはcurl形式で指定する必要があります。

ローカルロールがある場合は使用

ローカルONTAP定義が使用されているかを判断するブーリアンフラグ(名前付きRESTロールとローカルユーザーを含む)。

ユーザー要求の削除

ONTAPがローカルユーザーとの照合に使用する別名。を使用します sub ローカルユーザー名と一致するアクセストークンのフィールド。

導入シナリオ

ここでは、一般的な導入シナリオをいくつか紹介します。シナリオには大きく分けて、トークン検証がONTAPによってローカルで実行されるものと、許可サーバーによってリモートで実行されるものがあります。それぞれのシナリオには、必要な設定オプションのリストが含まれます。設定コマンドの例については、「ONTAPでのOAuth 2.0の導入」を参照してください。

許可サーバーを定義したら、その設定をONTAP管理インターフェイスを通じて表示できます。たとえば、ONTAP CLIではsecurity oauth2 client showコマンドを使用します。

ローカル検証

次の導入シナリオは、トークン検証がONTAPによってローカルで実行されるものです。

自己完結型スコープを使用(プロキシなし)

OAuth 2.0の自己完結型スコープのみを使用する、最もシンプルな導入シナリオです。ローカルのONTAP ID定義は使用しません。指定が必要なパラメーターは次のとおりです。

  • 名前

  • アプリケーション(http)

  • プロバイダーJWKS URI

  • 発行者URI

また、許可サーバーにスコープを追加する必要があります。

自己完結型スコープを使用(プロキシあり)

この導入シナリオでは、OAuth 2.0の自己完結型スコープを使用します。ローカルのONTAP ID定義は使用しません。ただし、許可サーバーがファイアウォールの内側にあるため、プロキシを設定する必要があります。指定が必要なパラメーターは次のとおりです。

  • 名前

  • アプリケーション(http)

  • プロバイダーJWKS URI

  • 発信プロキシ

  • 発行者URI

  • 対象者

また、許可サーバーにスコープを追加する必要があります。

ローカル ユーザーのロールとデフォルト ユーザー名のマッピングを使用(プロキシあり)

この導入シナリオでは、ローカル ユーザーのロールを、デフォルトのネーム マッピングで使用します。Remote user claimでは、デフォルト値のsubが使用されるため、アクセス トークンのこのフィールドが、ローカル ユーザー名の照合に使用されます。ユーザー名は、40文字以下にする必要があります。許可サーバーがファイアウォールの内側にあるため、プロキシも設定する必要があります。指定が必要なパラメーターは次のとおりです。

  • 名前

  • アプリケーション(http)

  • プロバイダーJWKS URI

  • ローカルロールがある場合は使用 (true)

  • 発信プロキシ

  • 発行者

ローカル ユーザーがONTAPに定義されていることを確認する必要があります。

ローカル ユーザーのロールと代替ユーザー名マッピングを使用(プロキシあり)

この導入シナリオでは、ローカル ユーザーのロールと、ローカルONTAPユーザーの照合に使用される代替ユーザー名を使用します。許可サーバーがファイアウォールの内側にあるため、プロキシを設定する必要があります。指定が必要なパラメーターは次のとおりです。

  • 名前

  • アプリケーション(http)

  • プロバイダーJWKS URI

  • ローカルロールがある場合は使用 (true)

  • リモートユーザーの要求

  • 発信プロキシ

  • 発行者URI

  • 対象者

ローカル ユーザーがONTAPに定義されていることを確認する必要があります。

リモート イントロスペクション

次の導入設定は、ONTAPがイントロスペクションを介してリモートでトークン検証を実行する場合のものです。

自己完結型スコープを使用(プロキシなし)

OAuth 2.0の自己完結型スコープを使用する、シンプルな導入シナリオです。ONTAP ID定義は使用しません。次のパラメーターを含める必要があります。

  • 名前

  • アプリケーション(http)

  • イントロスペクションエンドポイント

  • クライアント ID

  • 発行者URI

認可サーバーでは、スコープ、およびクライアントシークレットを定義する必要があります。

Top of Page