エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

ONTAP OAuth 2.0導入の概要

ONTAP 9.14以降では、Open Authorization(OAuth 2.0)フレームワークを使用して、ONTAPクラスタへのアクセスを制御するオプションがあります。この機能を有効にする際には、ONTAP CLI、ONTAP System Manager、REST APIなどの任意のONTAP管理インターフェイスを使用します。ただし、OAuth 2.0による許可とアクセス制御は、クライアントがREST APIを使用してONTAPにアクセスする場合のみ適用できます。

OAuth 2.0はONTAP 9.14.0で初めてサポートされたため、使用しているONTAPのリリースによっては利用できないことがあります。

機能とメリット

ここでは、ONTAPに導入されたOAuth 2.0の主な機能とメリットについて解説します。

OAuth 2.0標準のサポート

OAuth 2.0は、業界標準の許可フレームワークです。保護されたリソースへのアクセスを制限したり、制御したりするために使用するもので、署名付きアクセス トークンを使用します。OAuth 2.0を使用するメリットには、次のようなものがあります。

  • 豊富な許可設定オプション

  • パスワードなどクライアントのクレデンシャルが露出する可能性がない

  • 設定に基づいてトークンの有効期限を設定可能

  • REST APIと組み合わせての使用に最適

いくつかの一般的な認証サーバーでテスト済み

ONTAP環境は、OAuth 2.0準拠の認証サーバーとの互換性を持つように設計されています。次の一般的なサーバーやサービスでテスト済みです。

  • Auth0

  • Active Directoryフェデレーション サービス(ADFS)

  • Keycloak

複数の認証サーバーの同時接続をサポート

1つのONTAPクラスタに対して、最大8台の認証サーバーを定義できます。これにより、多様なセキュリティ環境のニーズを柔軟に満たせます。

RESTロールとの統合

ONTAPでの許可の判定は、最終的にはユーザーまたはグループに割り当てられたRESTロールに基づいて行われます。これらのロールは、自己完結型スコープとしてアクセス トークン内で伝送されるか、Active DirectoryグループまたはLDAPグループに沿ったローカルONTAP定義に基づきます。

送信者限定アクセス トークンを使用可能

ONTAPと認証サーバーを、Mutual Transport Layer Security(mTLS)を使用するように設定して、クライアント認証を強化できます。これにより、OAuth 2.0アクセス トークンを使用できるのが、その発行を受けたクライアントに限定されます。この機能は、FAPIやMITREによって規定されるものを含む、いくつかの一般的なセキュリティ推奨事項に沿ったものであり、それらへの準拠をサポートします。

導入と設定

OAuth 2.0の導入と設定に着手する際に考慮するべき点は、大きく分けていくつかあります。

ONTAP内のOAuth 2.0エンティティ

OAuth 2.0の許可フレームワークでは各種のエンティティが定義されています。いずれも、データセンターまたはネットワーク内の実在する要素または仮想的な要素に対応させることができます。次の表は、OAuth 2.0のエンティティと、ONTAPでそれぞれに対応する概念をまとめたものです。

OAuth 2.0のエンティティ 説明

リソース

内部ONTAPコマンドを通じてONTAPリソースへのアクセスを提供するREST APIエンドポイントです。

リソース オーナー

保護されたリソースを作成した、またはデフォルトでそのリソースを所有しているONTAPクラスタ ユーザーです。

リソース サーバー

保護されているリソースのホスト(ONTAPクラスタ)です。

クライアント

リソース オーナーに代わって、またはリソース オーナーから権限を付与されて、REST APIエンドポイントへのアクセスを要求するアプリケーションです。

認証サーバー

通常はアクセス トークンの発行と管理ポリシーの適用を担当する専用サーバーです。

ONTAPのコア設定

OAuth 2.0を有効にして使用するように、ONTAPクラスタを設定する必要があります。これには、認証サーバーへの接続を確立することや、必要なONTAP許可設定を定義することが含まれます。この設定には、次のいずれかの管理インターフェイスを使用できます。

  • ONTAPコマンドライン インターフェイス

  • ONTAP System Manager

  • ONTAP REST API

環境とサポート サービス

ONTAPの定義に加えて、認証サーバーの設定も必要です。グループとロールのマッピングを使用している場合は、Active DirectoryグループかLDAPに相当するものの設定も必要です。

サポートされるONTAPクライアント

ONTAP 9.14以降では、OAuth 2.0を使用してREST APIクライアントからONTAPにアクセスできます。REST API呼び出しを実行する前に、認証サーバーからアクセス トークンを取得する必要があります。クライアントは、HTTP許可要求ヘッダーを使用して、このトークンをBearerトークンとしてONTAPクラスタに渡します。求められるセキュリティ レベルによっては、クライアントで証明書を作成およびインストールして、mTLSベースの送信者限定トークンを使用することもできます。

用語の説明

ONTAPでのOAuth 2.0導入の検討を開始する際には、いくつかの用語についての知識が役に立ちます。OAuth 2.0の詳細については、「その他のリソース」のリンク先を参照してください。

アクセス トークン

認証サーバーによって発行され、保護されたリソースへのアクセス要求を行うためにOAuth 2.0クライアント アプリケーションによって使用されるトークンです。

JSON Webトークン

アクセス トークンのフォーマットに使用される標準です。JSONは、OAuth 2.0のクレームを3つの主要セクションで構成されるコンパクトな形式で表現するために使用されます。

送信者限定アクセス トークン

Mutual Transport Layer Security(mTLS)プロトコルをベースとする、オプションの機能です。トークンで追加の確認クレームを使用することにより、アクセス トークンを、その発行を受けたクライアントしか使用できなくなります。

JSON Webキー セット

JWKSは、クライアントから提示されたJWTトークンを検証するためにONTAPで使用される公開鍵の集合です。キー セットは、通常、専用のURIを介して認証サーバーで使用できます。

スコープ

スコープは、ONTAP REST APIなどの保護されたリソースへのアプリケーションのアクセスを制限または制御する手段のひとつです。アクセス トークン内の文字列として表されます。

HTTP許可ヘッダー

HTTP要求に含まれるヘッダーで、REST API呼び出しの一環として、クライアントや関連する権限を識別するために使用されます。認証と許可の実行方法に応じて、いくつかの種類や形式があります。OAuth 2.0のアクセス トークンがONTAPに提示されると、トークンはBearerトークンとして識別されます。

HTTP基本認証

初期のHTTP認証技術は、依然としてONTAPでサポートされています。プレーンテキストのクレデンシャル(ユーザー名とパスワード)は、コロンで連結され、Base64でエンコードされます。文字列は許可要求ヘッダーに配置され、サーバーに送信されます。

FAPI

OpenID Foundationのワーキング グループによって、金融業界向けのプロトコル、データ スキーマ、セキュリティに関する推奨事項が提供されています。このAPIは、もともとFinancial Grade APIとして知られていました。

MITRE

米国空軍と米国政府に技術的ガイダンスや安全保障上のガイダンスを提供している、民間の非営利団体です。

Top of Page