エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9.14

to English version

ONTAPでのOAuth 2.0の導入準備

ONTAP環境でOAuth 2.0を設定する前に、導入の準備をする必要があります。ここでは、主なタスクと決定が必要な事項の概要を説明します。セクションは、一般に望ましいと考えられる順序で並んでいます。大半の環境にはこれで対応できますが、必要があれば環境に応じて調整してご利用ください。このほか、正式な導入計画の作成も検討してください。

環境に応じて、ONTAPに定義する認証サーバーの設定を選択できます。これには、それぞれの導入タイプで指定する必要があるパラメーター値も含まれます。詳細については、「OAuth 2.0の導入シナリオ」を参照してください。

保護されたリソースとクライアント アプリケーション

OAuth 2.0は、保護されたリソースへのアクセスを制御するための承認フレームワークです。そこで、導入に際してまずは使用可能なリソースと、それらにアクセスする必要があるクライアントを特定することが、重要な最初の手順になります。

クライアント アプリケーションの特定

REST API呼び出しを発行する際にOAuth 2.0を使用するクライアントと、それらのクライアントのアクセス先になるAPIエンドポイントを決定する必要があります。

既存のONTAP RESTロールとローカル ユーザーの確認

RESTロールやローカル ユーザーなど、既存のONTAP IDの定義を確認する必要があります。OAuth 2.0の設定方法によっては、これらの定義を使用してアクセスを制御できます。

OAuth 2.0へのグローバルな移行

OAuth 2.0認証は段階的に導入することもできますが、各認証サーバーにグローバル フラグを設定することで、すべてのREST APIクライアントを一気にOAuth 2.0に移行することもできます。これにより、自己完結型スコープを作成しなくても、ONTAPの既存の設定に基づいてアクセスを制御できます。

認証サーバー

認証サーバーは、アクセストークンを発行し、管理ポリシーを適用することで、OAuth 2.0の展開において重要な役割を果たします。

認証サーバーの選択とインストール

1つ以上の認証サーバーを選択し、インストールする必要があります。スコープの定義方法など、アイデンティティー プロバイダーの設定オプションと手順を理解しておくことが重要です。

認証ルートCA証明書をインストールする必要性の判断

ONTAPは、認証サーバーの証明書を使用して、クライアントから提示された署名済みアクセス トークンを検証します。そのためにONTAPに必要なのが、ルートCA証明書と中間証明書です。これらの証明書は、事前にONTAPにインストールされている可能性があります。インストールされていない場合には、インストールする必要があります。

ネットワークの位置の評価と設定

認証サーバーがファイアウォールの内側にある場合は、プロキシ サーバーを使用するようにONTAPを設定する必要があります。

クライアント認証と許可

クライアントの認証と許可には、考慮すべき側面がいくつかあります。

自己完結型スコープかローカルONTAP ID定義か

大きく分けて、認証サーバーで自己完結型スコープを定義する方法と、ロールやユーザーを含む既存のローカルONTAP ID定義を使用する方法があります

ローカルONTAP処理に関するオプション

ONTAP ID定義を使用する場合は、次のどれを適用するのかを決定する必要があります。

  • 指定RESTロール

  • ローカル ユーザーの照合

  • Active DirectoryグループまたはLDAPグループ

ローカル検証とリモート イントロスペクション

アクセス トークンがONTAPによってローカルで検証されるか、イントロスペクションによって認証サーバーで検証されるかを決定する必要があります。また、更新間隔など、いくつかの関連する値についても検討する必要があります。

送信者限定アクセス トークン

高度なセキュリティが必要な環境には、mTLSベースの送信者限定アクセス トークンを使用できます。この場合、クライアントごとに証明書が必要です。

管理インターフェイス

OAuth 2.0は、次のいずれかのONTAPインターフェイスを通じて管理できます。

  • コマンドライン インターフェイス

  • ONTAP System Manager

  • REST API

クライアントによるアクセス トークン要求の方法

クライアント アプリケーションは、認証サーバーに直接アクセス トークンを要求しなければなりません。グラント タイプを含めて、これをどのように行うかを決定する必要があります。

ONTAPの設定

ONTAPで、いくつかの設定タスクを実行する必要があります。

RESTロールとローカル ユーザーの定義

認証設定に基づいて、ローカルのONTAP識別処理を使用できます。この場合は、RESTロールとユーザー定義を確認して定義する必要があります。

コア設定

ONTAPのコア設定を行うには、主に次の3つの手順が必要です。

  • 必要に応じて、認証サーバーの証明書に署名したCAのルート証明書を(ある場合は中間証明書も)インストールします。

  • 認証サーバーを定義します。

  • クラスタのOAuth 2.0処理を有効にします。

Top of Page