IdP の管理
MongoDB フェデレーティッド認証は、 MongoDB サポート、 MongoDB University 、 MongoDB Atlas 、 MongoDB Cloud Manager 、 MongoDB Community フォーラム、 MongoDB フィードバックなどの MongoDB システム全体に認証情報をリンクします。 Atlas は、フェデレーティッド ID 管理モデルを使用して認証を実装します。
FEMモデルを使用する場合
会社では ID プロバイダー( IdP )を使用して認証情報を管理しています。 IdPを使用すると、会社はウェブ全体で他のサービスで認証することができます。
MongoDB Atlas をIdPから渡されたデータを使用して認証するように構成します。
MongoDB ではなく IdP が認証情報を管理するため、これは SSO を超えます。ユーザーは、別のユーザー名とパスワードを記憶する必要なく、Atlas を使用できます。
重要
フェデレーティッド IdPが有効になっている場合、Atlas は他の認証メカニズムを無効にします。
次の手順では、SAML IdP を Atlas にリンクさせる方法について説明しています。
必要なアクセス権
フェデレーティッド認証を管理するには、インスタンスにフェデレーション設定を委任している 1 つ以上の組織に対する Organization Owner
アクセス権が必要です。
手順
重要
2 段階構成
ID プロバイダーによっては、Atlas などのサービス プロバイダーにリンクするときに循環ロジックが適用される場合があります。IdP を Atlas にリンクさせるには、次の手順に従います。
IdP には Atlas からの値が必要です。
Atlas には IdP からの値が必要です。
セットアップを簡素化するために、Atlas では IdP と Atlas 構成のプレースホルダー値を入力するように求められます。これらの値は、手順の後半で置き換えます。
外部 ID プロバイダー アプリケーションを構成する
フェデレーティッド認証を構成するには、外部の SAML IdP アプリケーションが必要です。SAML IdP では、次の操作を実行する必要があります。
Atlas の新しいアプリケーションを作成します。
新しいアプリケーションの初期 SAML 値を設定します。
次のフィールドにプレースホルダー値を設定します。
SP Entity ID or Issuer
Audience URI
Assertion Consumer Service (ACS) URL
次のフィールドに有効な値を設定します。
フィールド値Signature Algorithm
IdP 署名を暗号化するために使用されるアルゴリズム。Atlas は次の署名アルゴリズム値をサポートしています。
SHA-1
SHA-256
Name ID
有効なメールアドレス。
重要: Name ID は、メールアドレスであると同時に、ユーザー名でもあります。
Name ID Format
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
次の SAML 属性値に対して、次の属性名を持つ属性を作成します。
SAML 属性名SAML 属性値firstName
名
lastName
姓
memberOf
ユーザー グループ
注意
これらの属性名では、大文字と小文字が区別されます。 キャメルケース を参考に、属性名を入力します 。
これらの値を保存します。
IdP アプリケーションの初期設定が完了したら、IdP を Atlas にリンクして、ユーザーのログインを連携させます。
Atlas に ID プロバイダーを適用する
Federation Management Console から Atlas でフェデレーション認証を設定できます。このコンソールを使用して、次の操作を行います。
指定された組織に属するユーザーを認証するように Identity Providers を構成します。
Atlas Organizations を IdP に接続します。
Domains を確認して IdP に関連付け、ユーザーにその IdP を使用して認証するよう強制します。
管理コンソールを開く
Atlas で、Organization Settings ページに移動します。
まだ表示されていない場合は、以下から目的の組織を選択しますナビゲーション バーのOrganizationsメニュー
[Organizations] メニューの横にある [Organization Settings] アイコンをクリックします。
[ Organization Settings ]ページが表示されます。
管理コンソールから、次の操作を行います。
[Configure Identity Providers] をクリックします。
まだ ID プロバイダーを構成していない場合は、Setup Identity Provider をクリックします。それ以外の場合は、Identity Providers 画面で Add Identity Provider をクリックします。
次のSAMLプロトコル設定を入力または選択します。
フィールド必要性説明Configuration Name
必須
この構成を識別する人間が判読できるラベル。
Configuration Description
任意
この構成を説明する、人間が判読できるラベル。
IdP Issuer URI
必須
このフィールドにプレースホルダー値を指定します。Atlas メタデータを提供したら、このフィールドの実際の値を IdP から取得します。
IdP Single Sign-On URL
必須
SAML AuthNRequest の受信者の URL。
このフィールドにプレースホルダー値を指定します。Atlas メタデータを提供したら、このフィールドの実際の値を IdP から取得します。
IdP Signature Certificate
必須
PEM でエンコードされた IdP の公開キーの証明書。この値は IdP から取得できます。
次のいずれかを実行できます。
コンピュータから証明書をアップロードします。または、
証明書の内容をテキスト ボックスに貼り付けます。
Request Binding
必須
AuthNRequest を送信するために使用される SAML 認証要求プロトコル バインディング。次のいずれかになります。
HTTP POST
HTTP REDIRECT
Response Signature Algorithm
必須
SAML AuthNRequest に署名するために使用される応答アルゴリズム。次のいずれかになります。
SHA-256
SHA-1
[Next] をクリックします。
Atlas メタデータを使用した ID プロバイダーの設定
Atlas で IdP を設定すると、必要な Atlas メタデータを IdP に提供できます。
Atlas の Identity Provider 画面で Download metadata をクリックし、IdP に必要なメタデータをダウンロードします。Atlas はデータを
.xml
ファイルとして提供します。注意
これらの値を手動でコピーして保存する場合、Atlas では Assertion Consumer Service URL と Audience URI が提供されます。これらの値はメタデータのダウンロードに含まれています。
注意
SAML 信頼モデルでは、セットアップ時に信頼できるチャネルを介した証明書の交換が必要であり、CA 署名付き証明書は必要ありません。フェデレーティッド認証中、MongoDB Atlas とブラウザ間のすべてのトラフィックは、CA 署名証明書を使用して TLS 経由で実行されます。したがって、
metadata.xml
、リクエストの署名と署名の検証のために自己署名証明書のみを提供します。メタデータを IdP にアップロードします。
これで、Atlas で最初の IdP マッピングを設定するときに設定したプレースホルダー IdP Issuer URI および IdP Single Sign-On URL の値を置き換えるために必要な情報が手に入りました。
Atlas で、リンクされた IdP の IdP Issuer URI および IdP Single Sign-On URL に設定されているプレースホルダー値を、IdP の適切な値に変更します。
オプションで、IdP に RelayState URL を追加して、ユーザーを選択した URL に送信し、ログイン後の不要なリダイレクトを回避します。次のものを使用できます。
目的地RelayState URLMongoDB Atlas
Login URL は、Atlasフェデレーション管理アプリ の ID プロバイダー構成用に生成されました。
MongoDB サポート ポータル
https://auth.mongodb.com/app/salesforce/exk1rw00vux0h1iFz297/sso/saml MongoDB University
https://auth.mongodb.com/home/mongodb_thoughtindustriesstaging_1/0oadne22vtcdV5riC297/alndnea8d6SkOGXbS297 MongoDB Community フォーラム
https://auth.mongodb.com/home/mongodbexternal_communityforums_3/0oa3bqf5mlIQvkbmF297/aln3bqgadajdHoymn297 MongoDB フィードバック エンジン
https://auth.mongodb.com/home/mongodbexternal_uservoice_1/0oa27cs0zouYPwgj0297/aln27cvudlhBT7grX297 MongoDB JIRA
https://auth.mongodb.com/app/mongodbexternal_mongodbjira_1/exk1s832qkFO3Rqox297/sso/saml Atlas に戻り、Finish をクリックします。
重要
IdPが Atlas にリンクされると、少なくとも 1 つのドメインをIdPにマップするまで、 Federation Management ConsoleにInactiveとして表示されます。
次のステップ
IdP を Atlas に正常にリンクしたら、1 つ以上のドメインを ID プロバイダーにマップする必要があります。Atlas は、IdP を通じてこれらのドメインのユーザーを認証します。