Kubernetes からのフェデレーティッド認証の利用
Atlas Kubernetes Operator は、Atlas 組織に対するフェデレーション認証の使用をサポートしています。
注意
Atlas Kubernetes Operator を使用して IdPを設定することはできません。 IdPを設定するには、「データベース配置の認証と認可の構成 」を参照してください。
IdP を設定すると、 IdPを使用するようにユーザーを認証するロール マッピングを管理できます。
Atlas Kubernetes Operator を通じてフェデレーティッド認証を構成するには、 AtlasFederatedAuthカスタム リソースを指定して更新する必要があります。
AtlasFederatedAuthカスタム リソースを作成すると、Atlas Kubernetes Operator はフェデレーティッド認証 API リソースを使用してフェデレーションの組織構成を更新します。 組織構成では、組織やロールのマッピングなど、Atlas 組織のフェデレーション設定を指定します。
The AtlasFederatedAuth Custom Resource is not required to map database users to an IdP, both any existing authentication IdP or workload and workforce IdP. You can use the AtlasDatabaseUser custom resource to manage database users, in which you specify the authentication method used for a given database user. The AtlasDatabaseUser custom resource must be configured in conjunction with federated authentication to associate users and roles in the IdP with users and groups in MongoDB.
The AtlasFederatedAuth Custom Resource is optional to use any federated authentication, provided that you have configured it elsewhere in Atlas.
前提条件
Atlas Kubernetes Operator を使用してフェデレーティッド認証を設定する前に、次のものが必要です。
Atlas にリンクされた既存の ID プロバイダー( IdP )。 IdPを Atlas にリンクする方法については、「 IdP の管理 」を参照してください。
シークレット Atlas Kubernetes Operator が Atlas に 接続するため に使用できる API キー と。API キーには
Organization Ownerロールが必要です。アクティブな Atlas 組織または組織内のプロジェクト内の少なくとも 1 つのロール。
組織構成の更新
Atlas Kubernetes Operator を通じてフェデレーティッド認証を構成するには、 AtlasFederatedAuthカスタム リソースを指定してフェデレーションの組織構成を更新します。
次の例では、次の操作を実行するAtlasFederatedAuthカスタム リソースを構成します。
承認されたドメインとして
my-org-domain.comを追加します。組織のドメイン制限を有効にします。
SSOのデバッグを無効にします。
認証後のユーザーに
Organization Memberロールを付与します。組織の
Organization Ownerロールをマッピングし、org-adminという名前のIdPグループにロール マッピングを適用します。dev-projectという名前の組織内のプロジェクトのOrganization Project Creator} ロールとProject Ownerロールをマッピングし、dev-teamという名前のIdPグループにロール マッピングを適用します。
詳細については、「パラメーター 」を参照してください。
注意
spec.roleMappings.roleAssignments パラメーターには、現在の組織内の少なくとも 1 つの組織ロールまたは組織内のプロジェクトを含める必要があります。
例:
cat <<EOF | kubectl apply -f - apiVersion: atlas.mongodb.com/v1 kind: AtlasFederatedAuth metadata: name: atlas-default-federated-auth namespace: mongodb-atlas-system spec: enabled: true dataAccessIdentityProviders: - 32b6e34b3d91647abb20e7b8 - 42d8v92k5a34184rnv93f0c1 connectionSecretRef: name: my-org-secret namespace: mongodb-atlas-system domainAllowList: - my-org-domain.com domainRestrictionEnabled: true ssoDebugEnabled: false postAuthRoleGrants: - ORG_MEMBER roleMappings: - externalGroupName: org-admin roleAssignments: - role: ORG_OWNER - externalGroupName: dev-team roleAssignments: - role: ORG_GROUP_CREATOR - projectName: dev-project role: GROUP_OWNER EOF
更新プロセスのステータスを確認するには、次のコマンドを実行します。
kubectl get atlasfederatedauth -o yaml
Atlas Kubernetes Operator はカスタム リソースを返し、次の例のようなステータス セクションを含めます。
status: conditions: - type: Ready status: True - type: RolesReady status: True - type: UsersReady status: True
このリソースで利用可能なパラメータについて詳しくは、「 AtlasFederatedAuthカスタム リソース 」を参照してください。