Docs Menu
Docs Home
/
MongoDB Atlas
/ / /

Microsoft Entra ID を使用したフェデレーティッド認証の構成

項目一覧

  • 必要なアクセス権
  • 前提条件
  • 手順
  • ドメイン ユーザーを追加する
  • ID プロバイダーとしての Microsoft Entra ID の構成
  • ID プロバイダーとしての Microsoft Entra ID の Atlas への追加
  • (任意)組織をマッピングする
  • (任意)高度なフェデレーション認証オプションを構成する
  • ログイン URL を使用して Atlas にサインインします

このガイドでは、Microsoft Entra ID を IdP として使用してフェデレーティッド認証を構成する方法について説明します。

Microsoft Entra ID と Atlas を統合すると、自社の認証情報を使用して Atlas などの MongoDB Cloud Services にログインできるようになります。

注意

Atlas は現在、 OIDC/OAuth による認証と承認 2.0 を介してデータベース ユーザーの SSO をサポートしています。

フェデレーティッド認証を管理するには、インスタンスにフェデレーション設定を委任している 1 つ以上の組織に対する Organization Owner アクセス権が必要です。

Microsoft Entra ID を Atlas の IdP として使用するには、次のものが必要です。

  • Azureのサブスクライブ。 サブスクリプションを申し込むには、 Microsoft Azure portal にアクセスしてください。

  • サブスクリプションに関連付けられた Microsoft Entra ID のテナント。 Microsoft Entra ID テナントを設定する方法の詳細については、「 Microsoft Entra ID ドキュメント 」を参照してください。

  • Microsoft Entra ID テナント内には少なくとも Cloud App Administrator および User Administrator 権限が必要です。

  • ルーティング可能なカスタムのドメイン名。

Azure コンソールを使用してカスタム ドメイン名を Microsoft Entra ID に追加し、ユーザーを作成します(まだ作成していない場合)。

1

カスタム ドメイン名を Microsoft Entra ID に追加して、追加したドメインに属するユーザーを作成します。ドメインを追加したら、TXT レコードでお使いの DNS プロバイダーに Microsoft Entra ID の DNS 情報を追加して、構成を確認します。

カスタム ドメインの Microsoft Entra ID への追加方法について詳しくは、 Azure のドキュメント を参照してください。

2

ユーザがまだ存在しない場合は、Microsoft Entra ID でアクセス権を付与するユーザーを作成します。ユーザーは、Microsoft Entra ID に追加したカスタム ドメインに属している必要があります。

Microsoft Entra ID ユーザーを作成する方法について詳しくは、 Azure のドキュメント を参照してください。

Azureコンソールを使用して、Microsoft Entra ID をSAML IdP として構成します。Azure のギャラリーから MongoDB Cloud アプリを追加するか、アプリケーションを手動で構成できます。

1

MongoDB Cloud アプリ Microsoft Entra ID テナントに追加する方法について詳しくは、Azure のドキュメントを参照してください。

Tip

以下も参照してください。

2

ユーザーをアプリケーションに割り当てます。チュートリアルを完了すると、割り当てられたユーザーは Atlas などの MongoDB Cloud Services にアクセスできるようになります。

Microsoft Entra ID ユーザーをアプリケーションに割り当てる方法について詳しくは、Azure のドキュメントを参照してください。

3

SAML 構成ページに移動する方法について詳しくは、 Azure のドキュメント を参照してください。

4

有効なSAML署名証明書を生成するには、Microsoft Entra ID エンタープライズ アプリケーションの IdentifierReply URLに一時的な値を割り当てる必要があります。 これらの値を設定する前に証明書をダウンロードすると、ダウンロードした証明書が一意ではなくなります。その場合は、値を設定してから再度証明書をダウンロードする必要があります。

一時的な値の設定するには、次の手順を行います。

  1. セクション 1 で [Edit] をクリックします。

  2. 既存のデフォルト値をすべて削除して、次の一時的な値を設定します。

    設定
    一時的な値

    Identifier (Entity ID)

    https://www.okta.com/saml2/service-provider/MongoDBCloud

    Reply URL (Assertion Consumer Service URL).

    https://auth.mongodb.com/sso/saml2/

  3. [Save] をクリックします。

  4. ブラウザでページを更新して、証明書が再生成されたことを確認します。

    証明書のサムプリントと有効期限の値は、一時的な識別子と応答 URL が初めてアップデートされた後に変わります。

5

SAML Signing Certificate セクションで、Certificate (Base64) の横にある [Download] をクリックします。

チュートリアルの後半では、この署名証明書を MongoDB Federation Management Console にアップロードします。

6

ロール マッピングを使用しない場合は、この手順をスキップします。

ロール マッピングを使用するには、Microsoft Entra ID により Atlas に送信される SAML トークンに次のグループ クレームを追加します。

  1. Add a group claimクリックします。 Azure に Group Claims パネルが表示されます。

  2. Which groups associated with the user should be returned in the claim? で、[Security groups] をクリックします。

    選択するグループは、Azure 環境で構成したグループのタイプによって異なります。 適切なグループ情報を送信するには、別のタイプのグループを選択する必要がある場合があります。

  3. Source attribute ドロップダウン メニューから Group Id をクリックします。

    Group Id を選択した場合、Azure は人間が判読できるグループ名ではなく、セキュリティ グループのオブジェクト ID を送信します。Azure 環境によっては、セキュリティ グループのオブジェクト ID の代わりにグループ名を送信する別のソース属性を選択できる場合があります。

    Atlas でロール マッピングを作成するときは、SAML 応答で送信された Azure グループ データと構成済みの Atlas ロール マッピングの名前を正確に一致させます。

  4. Advanced options セクションで [Customize the name of the group claim] をクリックします。

  5. NamememberOf に設定します。

  6. Namespace は空白のままにします。

  7. Emit groups as role claimsをクリアします。

  8. [Save] をクリックします。

7

これらの値をテキスト エディタなど、簡単にアクセスできる場所に貼り付けます。

チュートリアルの後半で、これらの値を MongoDB Federation Management Console に入力します。

1

アプリケーションに、MongoDB-Atlas など内容がわかりやすい名前を付けます。

ギャラリーに登録されていないアプリケーションを Microsoft Entra ID に追加する方法について詳しくは、Azure のドキュメントを参照してください。

2

ユーザーをアプリケーションに割り当てます。チュートリアルを完了すると、割り当てられたユーザーは Atlas などの MongoDB Cloud Services にアクセスできるようになります。

Microsoft Entra ID ユーザーをアプリケーションに割り当てる方法について詳しくは、Azure のドキュメントを参照してください。

3

SAML 構成ページに移動する方法について詳しくは、 Azure のドキュメント を参照してください。

4

有効なSAML署名証明書を生成するには、Microsoft Entra ID エンタープライズ アプリケーションのIdentifierReply URLに一時的な値を割り当てる必要があります。 これらの値を設定する前に証明書をダウンロードすると、ダウンロードした証明書が一意ではなくなります。その場合は、値を設定してから再度証明書をダウンロードする必要があります。

一時的な値の設定するには、次の手順を行います。

  1. セクション 1 で [Edit] をクリックします。

  2. 既存のデフォルト値をすべて削除して、次の一時的な値を設定します。

    設定
    一時的な値

    Identifier (Entity ID)

    https://www.okta.com/saml2/service-provider/MongoDBCloud

    Reply URL (Assertion Consumer Service URL).

    https://auth.mongodb.com/sso/saml2/

  3. [Save] をクリックします。

  4. ブラウザでページを更新して、証明書が再生成されたことを確認します。

    証明書のサムプリントと有効期限の値は、一時的な識別子と応答 URL が初めてアップデートされた後に変わります。

5

SAML構成を簡素化するために、次の方法でデフォルトのAdditional claimsを削除できます。

  1. User Attributes & Claims セクションで [Edit] アイコンをクリックします。

  2. Additional claims セクション内の各クレームにこの操作を行うには、[Context menu] を展開して [Delete] をクリックします。

6

次の値を使用します。

  • Choose name identifier format: Unspecified

  • Source: Attribute

  • Source attribute: user.userprincipalname

    重要

    ソース属性の選択

    Active Directory の構成によっては、ユーザーの完全なメール アドレスを含むソース属性が user.userprincipalname ではない場合があります。フェデレーション ドメイン内の既存の Atlas ユーザーのユーザー名と一致するメール アドレスを含むソース属性(user.mail など)を使用します。

    フェデレーション ドメインに所属する既存の Atlas ユーザーの場合、ユーザーの現在の Atlas ユーザー名を含むソース属性を選択します。

Unique User Identifier 必須クレームを編集する方法について詳しくは、 Azure のドキュメント を参照してください。

7

Microsoft Entra ID が Atlas に送信する SAML トークンに次のユーザー要求を追加します。

重要

名前列の値は大文字と小文字を区別します。 表示されているとおりに正確に入力します。

すべてのユーザー クレームに対して、Namespace フィールドを空のままにしておく必要があります。

名前
ソース
ソース属性

firstName

属性

user.givenname

lastName

属性

user.surname

注意

Active Directory の構成によっては、異なるソース属性を使用する場合があります。適切なクレームには、ユーザーの氏名を含むソース属性を使用します。

ユーザー クレームを追加する方法について詳しくは、Azure のドキュメントを参照してください。

8

ロール マッピングを使用しない場合は、この手順をスキップします。

ロール マッピングを使用するには、Microsoft Entra ID により Atlas に送信される SAML トークンに次のグループ クレームを追加します。

  1. Add a group claimクリックします。 Azure に Group Claims パネルが表示されます。

  2. Which groups associated with the user should be returned in the claim? で、[Security groups] をクリックします。

    選択するグループは、Azure 環境で構成したグループのタイプによって異なります。 適切なグループ情報を送信するには、別のタイプのグループを選択する必要がある場合があります。

  3. Source attribute ドロップダウン メニューから Group Id をクリックします。

    Group Id を選択した場合、Azure は人間が判読できるグループ名ではなく、セキュリティ グループのオブジェクト ID を送信します。Azure 環境によっては、セキュリティ グループのオブジェクト ID の代わりにグループ名を送信する別のソース属性を選択できる場合があります。

    Atlas でロール マッピングを作成するときは、SAML 応答で送信された Azure グループ データと構成済みの Atlas ロール マッピングの名前を正確に一致させます。

  4. Advanced options セクションで [Customize the name of the group claim] をクリックします。

  5. NamememberOf に設定します。

  6. Namespace は空白のままにします。

  7. Emit groups as role claimsをクリアします。

  8. [Save] をクリックします。

9

SAML 署名証明書でSHA-256 署名アルゴリズムが使用されていることを検証する方法について詳しくは、 Azure のドキュメント を参照してください。

10

SAML Signing Certificate セクションで、Certificate (Base64) の横にある [Download] をクリックします。

チュートリアルの後半では、この署名証明書を MongoDB Federation Management Console にアップロードします。

11

これらの値をテキスト エディタなど、簡単にアクセスできる場所に貼り付けます。

チュートリアルの後半で、これらの値を MongoDB Federation Management Console に入力します。

Federation Management ConsoleAzure コンソールを使用して、Microsoft Entra ID を IdP として追加します。

1
  1. まだ表示されていない場合は、以下から目的の組織を選択しますナビゲーション バーのOrganizationsメニュー

  2. [Organizations] メニューの横にある [Organization Settings] アイコンをクリックします。

    [ Organization Settings ]ページが表示されます。

2

Manage Federation Settings で、[Open Federation Management App] をクリックします。

3
  1. [Configure Identity Providers] をクリックします。

  2. まだ ID プロバイダーを構成していない場合は、Setup Identity Provider をクリックします。それ以外の場合は、Identity Providers 画面で Add Identity Provider をクリックします。

  3. 次の SAML プロトコル設定を入力または選択します。すべてのフィールドが必須です。

    フィールド
    説明

    Configuration Name

    Microsoft Entra ID などの説明的な名前。

    IdP Issuer URI

    Microsoft Entra ID Identifier チュートリアルの前半で Azure からコピーしたものです。

    IdP Single Sign-On URL

    Login URL チュートリアルの前半で Azure からコピーしたものです。

    IdP Signature Certificate

    Base64チュートリアルの前半で Azure からダウンロードしたエンコードされた SAML 署名証明書。

    次のいずれかを実行できます。

    • コンピュータから証明書をアップロードします。または、

    • 証明書の内容をテキスト ボックスに貼り付けます。

    Request Binding

    HTTP POST.

    Response Signature Algorithm

    SHA-256.

  4. [Next] をクリックします。

4
  1. Download metadata をクリックします。このファイルはを、次のステップで Microsoft Entra ID にアップロードします。

  2. [Finish] をクリックします。

5

ファイルをアップロードするには、「 アプリでシングル サインオン を有効化する 」のステップ3 のスクリーンショットを参照してください Azure ドキュメントを参照してください。リンク先のAzureドキュメントのスクリーンショットに示されているように、SSO の構成ページでUpload metadata fileをクリックします。

オプションで、IdP に RelayState URL を追加して、ユーザーを選択した URL に送信し、ログイン後の不要なリダイレクトを回避します。次のものを使用できます。

目的地
RelayState URL

MongoDB Atlas

MongoDB サポート ポータル

https://auth.mongodb.com/app/salesforce/exk1rw00vux0h1iFz297/sso/saml

MongoDB University

https://auth.mongodb.com/home/mongodb_thoughtindustriesstaging_1/0oadne22vtcdV5riC297/alndnea8d6SkOGXbS297

MongoDB Community フォーラム

https://auth.mongodb.com/home/mongodbexternal_communityforums_3/0oa3bqf5mlIQvkbmF297/aln3bqgadajdHoymn297

MongoDB フィードバック エンジン

https://auth.mongodb.com/home/mongodbexternal_uservoice_1/0oa27cs0zouYPwgj0297/aln27cvudlhBT7grX297

MongoDB JIRA

https://auth.mongodb.com/app/mongodbexternal_mongodbjira_1/exk1s832qkFO3Rqox297/sso/saml

ドメインを IdP にマッピングすると、ドメインのユーザーを ID プロバイダー構成の Login URL に誘導する必要があることが Atlas に通知されます。

ユーザーは Atlas ログイン ページにアクセスする際に、メール アドレスを入力します。メール ドメインが IdP に関連付けられている場合、その IdP のログイン URL に送信されます。

重要

単一のドメインを複数の ID プロバイダーにマッピングできます。そうすると、MongoDB Cloud コンソールを使用してログインするユーザーは、ドメインにマップされた最初の一致する IdP に自動的にリダイレクトされます。

代替 ID プロバイダーを使用してログインするには、ユーザーは次のいずれかを行う必要があります。

  • 希望する IdP を介して MongoDB Cloud ログインを開始します。または、

  • 目的の IdPに関連付けられた Login URL を使用してログインします。

Federation Management Console を使用して、ドメインを IdP にマッピングします。

1

FMC を開きます。

  1. Atlas で、 Organization Settings ページに移動します。

    1. まだ表示されていない場合は、以下から目的の組織を選択しますナビゲーション バーのOrganizationsメニュー

    2. [Organizations] メニューの横にある [Organization Settings] アイコンをクリックします。

      [ Organization Settings ]ページが表示されます。

  2. Manage Federation Settings で、[Open Federation Management App] をクリックします。

2

ドメイン マッピング情報を入力します。

  1. [Add a Domain] をクリックします。

  2. Domains 画面で、Add Domain をクリックします。

  3. ドメイン マッピングに次の情報を入力します。

    フィールド
    説明

    表示名

    ドメインを簡単に識別するためのラベル。

    ドメイン名

    ドメイン名 マッピングする

  4. [Next] をクリックします。

3

ドメインの認証方法を選択します。

注意

検証方法は一度選択できますが、変更することはできません。別の検証方法を選択するには、ドメイン マッピングを削除して再作成します。

HTML ファイルをアップロードしてドメインを確認するか、DNS TXT レコードを作成してドメインを確認するかに応じて、適切なタブを選択します。

ドメインの所有者であることを検証するために、検証キーを含む HTML ファイルをアップロードします。

  1. [HTML File Upload] をクリックします。

  2. [Next] をクリックします。

  3. Atlas によって提供される mongodb-site-verification.html ファイルをダウンロードします。

  4. HTMLファイルを所有するドメイン上の Web サイトにアップロードします。 <https://host.domain>/mongodb-site-verification.htmlのファイルにアクセスできる必要があります。

  5. [Finish] をクリックします。

ドメインの所有権を検証するには、ドメイン プロバイダーで DNS TXT レコードを作成します。各 DNS レコードにより、特定の Atlas 組織と特定のドメインが関連付けされます。

  1. [DNS Record] をクリックします。

  2. [Next] をクリックします。

  3. 提供された TXT レコードをコピーします。TXT レコードの形式は次のとおりです。

    mongodb-site-verification=<32-character string>
  4. ドメイン名プロバイダー(GoDaddy.com や networksolutions.com など)にログインします。

  5. Atlas により提供される TXT レコードをドメインに追加します。

  6. Atlas に戻り、Finish をクリックします。

4

ドメインを確認します。

Domains 画面には、IdP にマッピングした未確認ドメインと確認済みドメインの両方が表示されます。ドメインを確認するには、対象ドメインの Verify ボタンをクリックします。Atlas では、検証に成功したかどうかが画面上部のバナーで表示されます。

ドメインの検証が無事に完了したら、Federation Management Console を使用して検証済みのドメインを Microsoft Entra ID に関連付けます。

1

左側のナビゲーションで [ Identity Providers ] をクリックします。

2

ドメインに関連付ける IdP については、Associated Domains の横にある Edit をクリックします。

3

IdP に関連付けるドメインを選択します。

4

[Confirm] をクリックします。

重要

テストを開始する前に、IdPバイパス SAML モード URL をコピーして保存します。Atlas 組織からロックアウトされた場合にフェデレーション認証をバイパスするには、この URL を使用します。

テスト中は、ロックアウトをさらに防ぐために、セッションを Federation Management Console にログインしたままにしておきます。

Bypass SAML Mode の詳細については、バイパス SAML モードを参照してください。

Federation Management Console を使用して、ドメインと Microsoft Entra ID の統合をテストします。

1

プライベート ブラウザ ウィンドウで、Atlas ログイン ページに移動します。

2

確認済みのドメインのユーザー名(通常は電子メール アドレス)を入力します。

確認済みのドメインが mongodb.com の場合は、username@mongodb.com 形式のメール アドレスを使用します。

3

Next をクリックします。ドメインを正しくマッピングした場合は、認証のために IdP にリダイレクトされます。認証に成功すると、Atlas にリダイレクトされます。

注意

IdP Login URL に直接移動することで、Atlas ログイン ページをバイパスできます。

Federation Management Console を使用して、ドメインのユーザーに特定の Atlas 組織へのアクセス権を割り当てます。

1
  1. まだ表示されていない場合は、以下から目的の組織を選択しますナビゲーション バーのOrganizationsメニュー

  2. [Organizations] メニューの横にある [Organization Settings] アイコンをクリックします。

    [ Organization Settings ]ページが表示されます。

2

Manage Federation Settings で、[Open Federation Management App] をクリックします。

3
  1. [View Organizations] をクリックします。

    Atlas には、あなたが Organization Owner. であるすべての組織が表示されます。

    フェデレーション アプリケーションにまだ接続していない組織では、Actions 列に Connect ボタンが表示されます。

  2. 目的の組織の Connect ボタンをクリックします。

4

管理コンソールの Organizations 画面で次の作業を行います。

  1. IdP にマッピングする組織の Name をクリックします。

  2. Identity Provider 画面で、Apply Identity Provider をクリックします。

    Atlas は、Atlas にリンクしたすべての IdP を表示する Identity Providers 画面にユーザーを誘導します。

  3. 組織に適用する IdP については、Add Organizations をクリックします。

  4. Apply Identity Provider to Organizations モーダルで、この IdP が適用される組織を選択します。

  5. [Confirm] をクリックします。

5
  1. 左側のナビゲーションで [ Organizations ] をクリックします。

  2. Organizations のリストで、目的の組織に期待される Identity Provider があることを確認します。

フェデレーション ユーザーと認証フローをより詳細に制御するために、フェデレーション認証の次の詳細オプションを構成できます。

注意

フェデレーティッド認証の次の詳細オプションを使用するには、組織をマッピングする必要があります。

Azure アプリケーションに割り当てたすべてのユーザーは、Login URLで Microsoft Entra ID の認証情報を使用して MongoDB Atlas にログインできます。ユーザーは、IdP にマッピングされた組織にアクセスできます。

重要

単一のドメインを複数の ID プロバイダーにマッピングできます。そうすると、MongoDB Cloud コンソールを使用してログインするユーザーは、ドメインにマップされた最初の一致する IdP に自動的にリダイレクトされます。

代替 ID プロバイダーを使用してログインするには、ユーザーは次のいずれかを行う必要があります。

  • 希望する IdP を介して MongoDB Cloud ログインを開始します。または、

  • 目的の IdPに関連付けられた Login URL を使用してログインします。

デフォルトの組織ロールを選択した場合、Login URL を使用して Atlas にログインする新しいユーザーには、指定したロールが付与されます。

戻る

ロール