Kubernetes からのフェデレーティッド認証の利用

前提条件

Atlas Kubernetes Operator を使用してフェデレーティッド認証を設定する前に、次のものが必要です。

• Atlas にリンクされた既存の ID プロバイダー（ IdP ）。 IdPを Atlas にリンクする方法については、「 IdP の管理 」を参照してください。

• シークレット Atlas Kubernetes Operator が Atlas に 接続するため に使用できる API キー と。API キーにはOrganization Ownerロールが必要です。

• アクティブな Atlas 組織または組織内のプロジェクト内の少なくとも 1 つのロール。

組織構成の更新

Atlas Kubernetes Operator を通じてフェデレーティッド認証を構成するには、 AtlasFederatedAuthカスタム リソースを指定してフェデレーションの組織構成を更新します。

次の例では、次の操作を実行するAtlasFederatedAuthカスタム リソースを構成します。

• 指定された シークレット にリンクされた組織のフェデレーティッド認証を有効にします 。

• 承認されたドメインとしてmy-org-domain.comを追加します。

• 組織のドメイン制限を有効にします。

• SSOのデバッグを無効にします。

• 認証後のユーザーにOrganization Memberロールを付与します。

• 組織のOrganization Ownerロールをマッピングし、 org-adminという名前のIdPグループにロール マッピングを適用します。

• dev-projectという名前の組織内のプロジェクトのOrganization Project Creator } ロールとProject Ownerロールをマッピングし、 dev-teamという名前のIdPグループにロール マッピングを適用します。

詳細については、「パラメーター 」を参照してください。

例:

cat <<EOF | kubectl apply -f -
apiVersion: atlas.mongodb.com/v1
kind: AtlasFederatedAuth
metadata:
  name: atlas-default-federated-auth
  namespace: mongodb-atlas-system
spec:
  enabled: true
  connectionSecretRef:
    name: my-org-secret
    namespace: mongodb-atlas-system
  domainAllowList:
    - my-org-domain.com
  domainRestrictionEnabled: true
  ssoDebugEnabled: false
  postAuthRoleGrants:
    - ORG_MEMBER
  roleMappings:
    - externalGroupName: org-admin
      roleAssignments:
        - role: ORG_OWNER
    - externalGroupName: dev-team
      roleAssignments:
        - role: ORG_GROUP_CREATOR
        - projectName: dev-project
          role: GROUP_OWNER
EOF

更新プロセスのステータスを確認するには、次のコマンドを実行します。

kubectl get atlasfederatedauth -o yaml

Atlas Kubernetes Operator はカスタム リソースを返し、次の例のようなステータス セクションを含めます。

status:
  conditions:
    - type: Ready
      status: True
    - type: RolesReady
      status: True
    - type: UsersReady
      status: True

このリソースで利用可能なパラメータについて詳しくは、「 AtlasFederatedAuthカスタム リソース 」を参照してください。