PingOne からフェデレーティッド認証を構成する
項目一覧
このガイドでは、PingOne をIdPとして使用してフェデレーティッド認証を構成する方法を示します。
PingOne と Atlas を統合した後、会社の認証情報を使用して Atlas やその他の MongoDB Cloud サービスにログインできます。
必要なアクセス権
フェデレーティッド認証を管理するには、インスタンスにフェデレーション設定を委任している 1 つ以上の組織に対するOrganization Ownerアクセス権が必要です。
前提条件
Atlas のIdPとして PingOne を使用するには、次のものが必要です。
PingOne サブスクライブ。 サブスクリプションを申し込むには、 PingOne にアクセスしてください。
管理特権を持つ PingOne ユーザー。 ユーザーに 管理 特権を付与するには、次を参照してください: 。あるいは、PingOne アカウントの有効化時に作成されたデフォルトの管理ユーザーを使用することもできます。
手順
ID プロバイダーとして PingOne を設定
PingOne 管理コンソールを使用して、PingOne をSAML IdPとして構成します。
SAML アプリケーションを構成します。
上部のナビゲーション バーで、 Applicationsをクリックします。
[ My Applicationsタブで、[ Add Application ] ドロップダウン メニューをクリックし、[ New SAML Applicationを選択します。
Application Nameフィールドに「MongoDB Atlas」などのアプリを識別するための名前を入力します。
Application Descriptionフィールドにアプリケーションの説明を入力します。
Categoryドロップダウン メニューからアプリケーションのカテゴリを選択します。
[Continue to Next Step] をクリックします。
Federation Management Consoleを開きます。
Atlas で、 Organization Settings ページに移動します。
警告
ナビゲーションの改善が進行中
現在、新しく改善されたナビゲーション エクスペリエンスを展開しています。次の手順が Atlas UIのビューと一致しない場合は、プレビュー ドキュメントを参照してください。
まだ表示されていない場合は、以下から目的の組織を選択しますナビゲーション バーのOrganizationsメニュー
[Organizations] メニューの横にある [Organization Settings] アイコンをクリックします。
[ Organization Settings ]ページが表示されます。
Federated Authentication Settings で、[Open Federation Management App] をクリックします。
Atlas に PingOne 認証情報を提供します。
左側のペインで [ Identity Providersをクリックします。 以前にIdPを構成したことがある場合は、ページの右上隅にあるAdd Identity Providerをクリックし、次にSetup Identity Providerをクリックします。 以前にIdPを設定したことがない場合は、 Setup Identity Providerをクリックします。
Configure Identity Provider画面で、次の情報を入力します。
フィールド値Configuration Name
構成を識別する説明ラベル
Issuer URI
Fill with Placeholder Values
Single Sign-On URL
Fill with Placeholder Values
Identity Provider Signature Certificate
前の手順で PingOne から受け取った証明書
Request Binding
HTTP POSTResponse Signature Algorithm
SHA-256PingOne 構成の値を表示するには、 Nextボタンをクリックします。
PingOne 構成ページで、上部のI have the SAML configurationをクリックし、Atlas FMCから取得した値を入力します。
フィールド | 値 |
|---|---|
Signing Certificate | 前のステップで PingOne から受信した証明書 |
Protocol Version |
|
Assertion Consumer Service | Atlas FMCからのAssertion Consumer Service URL |
Entity ID | Atlas FMCからのAudience URI |
Application URL | は空白のままにします |
Single Logout Endpoint | は空白のままにします |
Single Logout Response Endpoint | は空白のままにします |
Single Logout Binding Type | は空白のままにします |
Primary Verification Certificate | 証明書を選択しないでください。 |
Encrypt Assertion | オフ |
Signing |
|
Signing Algorithm |
|
Force Re-authentication | オフ |
PingOne 構成で、 Continue to Next Stepをクリックします。
アプリケーション属性を追加します。
各属性について、[ Add new attribute ] をクリックします。
アプリケーション属性には、次の値を指定します。
Application AttributeIdentity Bridge Attribute or Literal ValueAs LiteralSAML_SUBJECTEmailオフ
firstNameFirst Nameオフ
lastNameLast Nameオフ
各属性について、[ Advanced ] をクリックします。
Name ID Formatを追加します。
次の形式を使用できます。
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecifiedurn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
[Continue to Next Step] をクリックします。
フェデレーティッド認証を有効にするユーザーグループを追加し、 Continue to Next Stepをクリックします。
Review Setupページで、後のステップで使用するIssuerとidpidの値を書き留めておきます。
Atlas FMCで、 Finishをクリックします。 Identity Providers画面で、以前に作成した PingOne プロバイダーのModifyをクリックします。
先ほど割り当てたプレースホルダー値を次の値に置き換えます。
フィールド | 値 |
|---|---|
Issuer URI | Issuer 以前に通知した値。 |
Single Sign-On URL | シングル サインオンに接続する URL: |
PingOne の構成ページで、 Finishをクリックします。
ドメインをマッピング
ドメインを IdP にマッピングすると、ドメインのユーザーを ID プロバイダー構成の Login URL に誘導する必要があることが Atlas に通知されます。
ユーザーは Atlas ログイン ページにアクセスする際に、メール アドレスを入力します。メール ドメインが IdP に関連付けられている場合、その IdP のログイン URL に送信されます。
重要
単一のドメインを複数の ID プロバイダーにマッピングすると、MongoDB Cloud コンソールを使用してログインするユーザーは、ドメインにマッピングされた IdP のうち最初に一致したものに自動的にリダイレクトされます。
代替 ID プロバイダーを使用してログインするには、ユーザーは次のいずれかを行う必要があります。
希望する IdP を介して MongoDB Cloud ログインを開始します。または、
希望する IdP に関連付けられた Login URL を使用してログインします。
Federation Management Console を使用して、ドメインを IdP にマッピングします。
FMC を開きます。
Atlas で、 Organization Settings ページに移動します。
警告
ナビゲーションの改善が進行中
現在、新しく改善されたナビゲーション エクスペリエンスを展開しています。次の手順が Atlas UIのビューと一致しない場合は、プレビュー ドキュメントを参照してください。
まだ表示されていない場合は、以下から目的の組織を選択しますナビゲーション バーのOrganizationsメニュー
[Organizations] メニューの横にある [Organization Settings] アイコンをクリックします。
[ Organization Settings ]ページが表示されます。
Manage Federation Settings で、[Open Federation Management App] をクリックします。
ドメイン マッピング情報を入力します。
[Add a Domain] をクリックします。
Domains 画面で、Add Domain をクリックします。
ドメイン マッピングに次の情報を入力します。
フィールド説明表示名
ドメインを簡単に識別するためのラベル。
ドメイン名
ドメイン名 マッピングする
[Next] をクリックします。
ドメインの認証方法を選択します。
注意
検証方法は一度選択できますが、変更することはできません。別の検証方法を選択するには、ドメイン マッピングを削除して再作成します。
ドメインを検証するために HTML ファイルをアップロードするか、DNS TXT レコードを作成するかに応じて、適切なタブを選択します。
ドメインの所有者であることを検証するために、検証キーを含む HTML ファイルをアップロードします。
[HTML File Upload] をクリックします。
[Next] をクリックします。
Atlas によって提供される
mongodb-site-verification.htmlファイルをダウンロードします。HTML ファイルを所有するドメイン上の Web サイトにアップロードします。
<https://host.domain>/mongodb-site-verification.htmlのファイルにアクセスできる必要があります。[Finish] をクリックします。
ドメインの所有権を検証するには、ドメイン プロバイダーで DNS TXT レコードを作成します。各 DNS レコードにより、特定の Atlas 組織と特定のドメインが関連付けされます。
[DNS Record] をクリックします。
[Next] をクリックします。
提供された TXT レコードをコピーします。TXT レコードの形式は次のとおりです。
mongodb-site-verification=<32-character string> ドメイン名プロバイダー(GoDaddy.com や networksolutions.com など)にログインします。
Atlas により提供される TXT レコードをドメインに追加します。
Atlas に戻り、Finish をクリックします。
ドメインを確認します。
Domains 画面には、IdP にマッピングした未検証ドメインと検証済みドメインの両方が表示されます。ドメインを検証するには、対象ドメインの [Verify] ボタンをクリックします。Atlas では、検証が成功したかどうかが画面上部のバナーで表示されます。
ドメインを ID プロバイダーに関連付ける
ドメインを正常に検証したら、 Federation Management Consoleを使用してドメインを PingOne に関連付けます。
左側のナビゲーションで [ Identity Providers ] をクリックします。
ドメインと関連付けたい IdP で、Associated Domains の横の [Edit] をクリックします。
IdP に関連付けるドメインを選択します。
[Confirm] をクリックします。
ドメイン マッピングをテストする
重要
テストを開始する前に、IdP の Bypass SAML モードの URL をコピーして保存します。Atlas 組織からロックアウトされた場合にフェデレーティッド認証をバイパスするには、この URL を使用します。
テスト中は、ロックアウトをさらに防ぐために、セッションを Federation Management Console にログインしたままにしておきます。
Bypass SAML Mode の詳細については、バイパス SAML モードを参照してください。
ドメインと PingOne の統合をテストするには、次のようにFederation Management Consoleを使用します。
プライベート ブラウザ ウィンドウで、Atlas ログイン ページに移動します。
確認済みのドメインのユーザー名(通常は電子メール アドレス)を入力します。
例
確認済みのドメインが mongodb.com の場合は、username@mongodb.com 形式のメール アドレスを使用します。
Nextクリックします。 ドメインを正しくマッピングした場合は、認証のためにIdPにリダイレクトされます。 認証が成功すると、Atlasにリダイレクトされます。
注意
Atlas のログイン ページをバイパスするには、IdP の Login URL に直接アクセスします。
(任意)組織をマッピングする
Federation Management Console を使用して、ドメインのユーザーに特定の Atlas 組織へのアクセス権を割り当てます。
Atlas で、 Organization Settings ページに移動します。
警告
ナビゲーションの改善が進行中
現在、新しく改善されたナビゲーション エクスペリエンスを展開しています。次の手順が Atlas UIのビューと一致しない場合は、プレビュー ドキュメントを参照してください。
まだ表示されていない場合は、以下から目的の組織を選択しますナビゲーション バーのOrganizationsメニュー
[Organizations] メニューの横にある [Organization Settings] アイコンをクリックします。
[ Organization Settings ]ページが表示されます。
組織をフェデレーション アプリケーションに接続します。
[View Organizations] をクリックします。
Atlas には、あなたが
Organization Owner. であるすべての組織が表示されます。フェデレーション アプリケーションにまだ接続していない組織では、Actions 列に Connect ボタンが表示されます。
目的の組織の Connect ボタンをクリックします。
組織に IdP を適用します。
管理コンソールの Organizations 画面で次の作業を行います。
IdP にマッピングする組織の Name をクリックします。
Identity Provider 画面で、Apply Identity Provider をクリックします。
Atlas は、Atlas にリンクしたすべての IdP を表示する Identity Providers 画面にユーザーを誘導します。
組織に適用するIdPについては、 Add Organizationsをクリックします。
Apply Identity Provider to Organizations モーダルで、この IdP が適用される組織を選択します。
[Confirm] をクリックします。
(任意)高度なフェデレーション認証オプションを構成する
フェデレーション ユーザーと認証フローをより詳細に制御するために、フェデレーション認証の次の詳細オプションを構成できます。
注意
フェデレーティッド認証の次の詳細オプションを使用するには、組織をマッピングする必要があります。
ログイン URL を使用して Atlas にサインインします
PingOne アプリケーションに割り当てたすべてのユーザーは、 Login URLで PingOne 認証情報を使用して Atlas にログインできます。 ユーザーは、 IdPにマッピングされた組織にアクセスできます。
重要
単一のドメインを複数の ID プロバイダーにマッピングすると、MongoDB Cloud コンソールを使用してログインするユーザーは、ドメインにマッピングされた IdP のうち最初に一致したものに自動的にリダイレクトされます。
代替 ID プロバイダーを使用してログインするには、ユーザーは次のいずれかを行う必要があります。
希望する IdP を介して MongoDB Cloud ログインを開始します。または、
希望する IdP に関連付けられた Login URL を使用してログインします。
デフォルトの組織ロールを選択した場合、 Login URLを使用して Atlas にログインする新しいユーザーには、指定したロールが付与されます。