Docs Menu
Docs Home
/
MongoDB Atlas
/
UI アクセスの構成
/
認証
/
フェデレーティッド

Google Workspace からフェデレーティッド認証を構成する

項目一覧

  • 必要なアクセス権
  • 前提条件
  • 手順
  • ID プロバイダーとして Google Workspace を設定
  • (任意)組織をマッピングする
  • (任意)高度なフェデレーション認証オプションを構成する
  • ログイン URL を使用して Atlas にサインインします

このガイドでは、Google Workspace を IdPとして使用してフェデレーティッド認証を構成する方法について説明します。

Google Workspace と Atlas を統合した後、会社の認証情報を使用して Atlas やその他の MongoDB Cloud サービスにログインできます。

必要なアクセス権

フェデレーティッド認証を管理するには、インスタンスにフェデレーション設定を委任している 1 つ以上の組織に対する Organization Ownerアクセス権が必要です。

前提条件

Google Workspace を Atlas のIdPとして使用するには、次のものが必要です。

  • Google Workspace サブスクライブ。 サブスクリプションを申し込むには、 Google Workspace ポータルにアクセスしてください。

  • 管理特権を持つ Google Workspace ユーザー。 ユーザーに管理特権を付与するには、「 ユーザーを管理者にするには 」を参照してください。 。あるいは、Google Workspace アカウントの有効化時に作成されたデフォルトの管理ユーザーを使用することもできます。

手順

ID プロバイダーとして Google Workspace を設定

Google Workspace 管理コンソールを使用して、Google Workspace をSAML IdPとして構成します。

1

Google Workspace アカウントに新しいアプリケーションを追加します。

  1. Google Workspace 管理者アカウントで、 Apps ドロップダウン メニューを開き、 Web and mobile apps をクリックします。

  2. [ Add Appドロップダウン メニューを開き、[ Add custom SAML app ] をクリックします。

  3. App nameフィールドに「MongoDB Cloud」など、アプリを識別するための名前を入力します。

  4. 必要に応じてApp iconを選択します。

  5. Continueボタンをクリックします。

2

Google Workspace から SSO の認証情報を取得します。

  1. Option 2セクションに移動します。

  2. SSO URLEntity IDをコピーし、提供されたCertificateをダウンロードします。 これらは後のステップでFMCによって使用されます。 このページは開いたままにします。

3

Atlas で、Organization Settings ページに移動します。

  1. まだ表示されていない場合は、以下から目的の組織を選択しますナビゲーション バーのOrganizationsメニュー

  2. [Organizations] メニューの横にある [Organization Settings] アイコンをクリックします。

    [ Organization Settings ]ページが表示されます。

4

Federation Management Console を開いてください。

Manage Federation Settings で、[Open Federation Management App] をクリックします。

5

Atlas に Google Workspace の認証情報を提供します。

  1. 左側のペインで [ Identity Providersをクリックします。 以前にIdPを構成したことがある場合は、ページの右上隅にあるAdd Identity Providerをクリックし、次にSetup Identity Providerをクリックします。 以前にIdPを設定したことがない場合は、 Setup Identity Providerをクリックします。

  2. Create Identity Provider画面で、次の情報を入力します。

    フィールド
    Configuration Name
    構成を識別する記述的な名前。
    Issuer URI
    Entity ID 前のステップで Google Workspace から受け取ったドキュメントです。
    Single Sign-On URL
    SSO URL 前のステップで Google Workspace から受け取ったドキュメントです。
    Identity Provider Signature Certificate

    .cer 前のステップで Google Workspace から受信した ファイル。

    次のいずれかを実行できます。

    • コンピュータから証明書をアップロードします

    • 証明書の内容をテキスト ボックスに貼り付けます

    Request Binding
    HTTP POST
    Response Signature Algorithm
    SHA-256

  1. Nextボタンをクリックします。

6

Google Workspace 用の Atlas メタデータを取得します。

  1. FMCで、 Assertion Consumer Service URLAudience URIをコピーします。

  2. Finishボタンをクリックします。

  3. Google Workspace がアプリケーション用に作成するIdPタイルのLogin URLをコピーします。

7

Atlas メタデータを Google Workspace に提供する。

  1. Google Workspace の設定ページに戻り、[ Continue ] ボタンをクリックします。

  2. データ フィールドに次の値を入力します。

    フィールド
    ACS URL
    Atlas によって提供されるAssertion Consumer Service URL
    Entity ID
    Atlas によって提供されるAudience URI
    Start URL
    Atlas によって提供されるLogin URL
    Signed Response
    このボックスをオンにします。
    Name ID Format
    UNSPECIFIED
    Name ID
    Basic Information > Primary Email

  3. Continueボタンをクリックします。

8

Google ワークスペース属性の構成

  1. Google Workspace で、各ペアの [ Add Mapping ] ボタンをクリックして、次の各値ペアを個別のマッピングとして追加します。 App attributeの値は大文字と小文字を区別します。

    Google Directory の属性
    アプリ属性
    基本情報 > 名
    firstName
    基本情報 > 姓
    lastName

  2. ロール マッピングを構成している場合は、次の手順に進みます。 それ以外の場合は、 Finishボタンをクリックして、 「 Google Workspace 経由でユーザー アクセスの有効化 」に進みます。

9

(任意)ロール マッピングを構成します。

  1. Google Workspace でロールマッピングを構成するには、次のように、 Group membership (optional)セクションに 1 つのグループ属性を作成します。

    Google グループ
    Atlas ロールにマッピングするすべての Google グループを検索して選択し、すべてが 1 行に含まれていることを確認します。 この属性の詳細 については、「 グループ メンバーシップ マッピングについて 」を参照してください。
    アプリ属性
    memberOf

  2. Finishボタンをクリックします。

10

Google Workspace 経由でユーザー アクセスを有効にする。

  1. User Accessパネルの右上隅にある矢印をクリックして展開します。

  2. ユーザー アクセスを有効にします。 次のいずれかを実行できます。

    • Google Workspace 内のすべてのユーザーに対してフェデレーティッド認証を有効にするには、 Service statusペインでON for everyoneをクリックします。

    • フェデレーション認証を有効にする特定のGroupsまたはOrganizational Unitsを、左側の折りたためるメニューから選択します。 Google Workspace のヘルプ ページでは、 グループ の管理に関する詳細が記載されています および 組織単位。

ドメインをマッピング

ドメインを IdP にマッピングすると、ドメインのユーザーを ID プロバイダー構成の Login URL に誘導する必要があることが Atlas に通知されます。

ユーザーは Atlas ログイン ページにアクセスする際に、メール アドレスを入力します。メール ドメインが IdP に関連付けられている場合、その IdP のログイン URL に送信されます。

重要

単一のドメインを複数の ID プロバイダーにマッピングできます。そうすると、MongoDB Cloud コンソールを使用してログインするユーザーは、ドメインにマップされた最初の一致する IdP に自動的にリダイレクトされます。

代替 ID プロバイダーを使用してログインするには、ユーザーは次のいずれかを行う必要があります。

  • 希望する IdP を介して MongoDB Cloud ログインを開始します。または、

  • 目的の IdPに関連付けられた Login URL を使用してログインします。

Federation Management Console を使用して、ドメインを IdP にマッピングします。

1

FMC を開きます。

  1. Atlas で、 Organization Settings ページに移動します。

    1. まだ表示されていない場合は、以下から目的の組織を選択しますナビゲーション バーのOrganizationsメニュー

    2. [Organizations] メニューの横にある [Organization Settings] アイコンをクリックします。

      [ Organization Settings ]ページが表示されます。

  2. Manage Federation Settings で、[Open Federation Management App] をクリックします。

2

ドメイン マッピング情報を入力します。

  1. [Add a Domain] をクリックします。

  2. Domains 画面で、Add Domain をクリックします。

  3. ドメイン マッピングに次の情報を入力します。

    フィールド
    説明
    表示名
    ドメインを簡単に識別するためのラベル。
    ドメイン名
    ドメイン名 マッピングする

  4. [Next] をクリックします。

3

ドメインの認証方法を選択します。

注意

検証方法は一度選択できますが、変更することはできません。別の検証方法を選択するには、ドメイン マッピングを削除して再作成します。

HTML ファイルをアップロードしてドメインを確認するか、DNS TXT レコードを作成してドメインを確認するかに応じて、適切なタブを選択します。

ドメインの所有者であることを検証するために、検証キーを含む HTML ファイルをアップロードします。

  1. [HTML File Upload] をクリックします。

  2. [Next] をクリックします。

  3. Atlas によって提供される mongodb-site-verification.html ファイルをダウンロードします。

  4. HTMLファイルを所有するドメイン上の Web サイトにアップロードします。 <https://host.domain>/mongodb-site-verification.htmlのファイルにアクセスできる必要があります。

  5. [Finish] をクリックします。

ドメインの所有権を検証するには、ドメイン プロバイダーで DNS TXT レコードを作成します。各 DNS レコードにより、特定の Atlas 組織と特定のドメインが関連付けされます。

  1. [DNS Record] をクリックします。

  2. [Next] をクリックします。

  3. 提供された TXT レコードをコピーします。TXT レコードの形式は次のとおりです。

    mongodb-site-verification=<32-character string>

  4. ドメイン名プロバイダー(GoDaddy.com や networksolutions.com など)にログインします。

  5. Atlas により提供される TXT レコードをドメインに追加します。

  6. Atlas に戻り、Finish をクリックします。

4

ドメインを確認します。

Domains 画面には、IdP にマッピングした未確認ドメインと確認済みドメインの両方が表示されます。ドメインを確認するには、対象ドメインの Verify ボタンをクリックします。Atlas では、検証に成功したかどうかが画面上部のバナーで表示されます。

ドメインを ID プロバイダーに関連付ける

ドメインの検証が無事に完了したら、 Federation Management Consoleを使用して検証済みのドメインを Google Workspace に関連付けます。

1

左側のナビゲーションで [ Identity Providers ] をクリックします。

2

ドメインに関連付ける IdP については、Associated Domains の横にある Edit をクリックします。

3

IdP に関連付けるドメインを選択します。

4

[Confirm] をクリックします。

ドメイン マッピングをテストする

重要

テストを開始する前に、IdPバイパス SAML モード URL をコピーして保存します。Atlas 組織からロックアウトされた場合にフェデレーション認証をバイパスするには、この URL を使用します。

テスト中は、ロックアウトをさらに防ぐために、セッションを Federation Management Console にログインしたままにしておきます。

Bypass SAML Mode の詳細については、バイパス SAML モードを参照してください。

ドメインと Google Workspace の統合をテストするには、次のようにFederation Management Consoleを使用します。

1

プライベート ブラウザ ウィンドウで、Atlas ログイン ページに移動します。

2

確認済みのドメインのユーザー名(通常は電子メール アドレス)を入力します。

確認済みのドメインが mongodb.com の場合は、username@mongodb.com 形式のメール アドレスを使用します。

3

Next をクリックします。ドメインを正しくマッピングした場合は、認証のために IdP にリダイレクトされます。認証に成功すると、Atlas にリダイレクトされます。

注意

IdP Login URL に直接移動することで、Atlas ログイン ページをバイパスできます。

(任意)組織をマッピングする

Federation Management Console を使用して、ドメインのユーザーに特定の Atlas 組織へのアクセス権を割り当てます。

1

Atlas で、Organization Settings ページに移動します。

  1. まだ表示されていない場合は、以下から目的の組織を選択しますナビゲーション バーのOrganizationsメニュー

  2. [Organizations] メニューの横にある [Organization Settings] アイコンをクリックします。

    [ Organization Settings ]ページが表示されます。

2

Federation Management Console を開いてください。

Manage Federation Settings で、[Open Federation Management App] をクリックします。

3

組織をフェデレーション アプリケーションに接続します。

  1. [View Organizations] をクリックします。

    Atlas には、あなたが Organization Owner. であるすべての組織が表示されます。

    フェデレーション アプリケーションにまだ接続していない組織では、Actions 列に Connect ボタンが表示されます。

  2. 目的の組織の Connect ボタンをクリックします。

4

組織に IdP を適用します。

管理コンソールの Organizations 画面で次の作業を行います。

  1. IdP にマッピングする組織の Name をクリックします。

  2. Identity Provider 画面で、Apply Identity Provider をクリックします。

    Atlas は、Atlas にリンクしたすべての IdP を表示する Identity Providers 画面にユーザーを誘導します。

  3. 組織に適用する IdP については、Add Organizations をクリックします。

  4. Apply Identity Provider to Organizations モーダルで、この IdP が適用される組織を選択します。

  5. [Confirm] をクリックします。

5

組織をフェデレーション アプリケーションに接続します。

  1. 左側のナビゲーションで [ Organizations ] をクリックします。

  2. Organizations のリストで、目的の組織に期待される Identity Provider があることを確認します。

(任意)高度なフェデレーション認証オプションを構成する

フェデレーション ユーザーと認証フローをより詳細に制御するために、フェデレーション認証の次の詳細オプションを構成できます。

注意

フェデレーティッド認証の次の詳細オプションを使用するには、組織をマッピングする必要があります。

ログイン URL を使用して Atlas にサインインします

Google Workspace アプリケーションに割り当てたすべてのユーザーは、 Login URLで Google Workspace の認証情報を使用して Atlas にログインできます。 ユーザーは、 IdPにマッピングされた組織にアクセスできます。

重要

単一のドメインを複数の ID プロバイダーにマッピングできます。そうすると、MongoDB Cloud コンソールを使用してログインするユーザーは、ドメインにマップされた最初の一致する IdP に自動的にリダイレクトされます。

代替 ID プロバイダーを使用してログインするには、ユーザーは次のいずれかを行う必要があります。

  • 希望する IdP を介して MongoDB Cloud ログインを開始します。または、

  • 目的の IdPに関連付けられた Login URL を使用してログインします。

デフォルトの組織ロールを選択した場合、 Login URLを使用して Atlas にログインする新しいユーザーには、指定したロールが付与されます

戻る

Microsoft Entra ID

次へ

Okta