Docs Menu
Docs Home
/
MongoDB Atlas
/ / /

IdP の管理

項目一覧

  • 必要なアクセス権
  • 手順
  • 外部 ID プロバイダー アプリケーションを構成する
  • Atlas に ID プロバイダーを適用する
  • Atlas メタデータを使用した ID プロバイダーの設定
  • 次のステップ

MongoDB フェデレーティッド認証は、 MongoDB サポートMongoDB University 、 MongoDB Atlas 、 MongoDB Cloud Manager 、 MongoDB Community フォーラムMongoDB フィードバックなどの MongoDB システム全体に認証情報をリンクします。 Atlas は、フェデレーティッド ID 管理モデルを使用して認証を実装します。

FEMモデルを使用する場合

  • 会社では ID プロバイダー( IdP )を使用して認証情報を管理しています。 IdPを使用すると、会社はウェブ全体で他のサービスで認証することができます。

  • MongoDB Atlas をIdPから渡されたデータを使用して認証するように構成します。

MongoDB ではなく IdP が認証情報を管理するため、これは SSO を超えます。ユーザーは、別のユーザー名とパスワードを記憶する必要なく、Atlas を使用できます。

重要

フェデレーティッド IdPが有効になっている場合、Atlas は他の認証メカニズムを無効にします。

次の手順では、SAML IdP を Atlas にリンクさせる方法について説明しています。

フェデレーティッド認証を管理するには、インスタンスにフェデレーション設定を委任している 1 つ以上の組織に対する Organization Ownerアクセス権が必要です。

重要

2 段階構成

ID プロバイダーによっては、Atlas などのサービス プロバイダーにリンクするときに循環ロジックが適用される場合があります。IdP を Atlas にリンクさせるには、次の手順に従います。

  • IdP には Atlas からの値が必要です。

  • Atlas には IdP からの値が必要です。

セットアップを簡素化するために、Atlas では IdP と Atlas 構成のプレースホルダー値を入力するように求められます。これらの値は、手順の後半で置き換えます。

フェデレーティッド認証を構成するには、外部の SAML IdP アプリケーションが必要です。SAML IdP では、次の操作を実行する必要があります。

  1. Atlas の新しいアプリケーションを作成します。

  2. 新しいアプリケーションの初期 SAML 値を設定します。

    1. 次のフィールドにプレースホルダー値を設定します。

      • SP Entity ID or Issuer

      • Audience URI

      • Assertion Consumer Service (ACS) URL

    2. 次のフィールドに有効な値を設定します。

      フィールド

      Signature Algorithm

      IdP 署名を暗号化するために使用されるアルゴリズム。Atlas は次の署名アルゴリズム値をサポートしています。

      • SHA-1

      • SHA-256

      Name ID

      有効なメールアドレス。

      重要: Name ID は、メールアドレスであると同時に、ユーザー名でもあります。

      Name ID Format

      • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

      • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

    3. 次の SAML 属性値に対して、次の属性名を持つ属性を作成します。

      SAML 属性名
      SAML 属性値

      firstName

      lastName

      memberOf

      ユーザー グループ

      注意

      これらの属性名では、大文字と小文字が区別されます。 キャメルケース を参考に、属性名を入力します 。

    4. これらの値を保存します。

IdP アプリケーションの初期設定が完了したら、IdP を Atlas にリンクして、ユーザーのログインを連携させます。

注意

前提条件

この手順では、外部 IdP がすでに存在していることを前提としています。IdP を構成する方法については、「外部 IdP アプリケーションを構成する」を参照してください。

Federation Management Console から Atlas でフェデレーション認証を設定できます。このコンソールを使用して、次の操作を行います。

  • 指定された組織に属するユーザーを認証するように Identity Providers を構成します。

  • Atlas OrganizationsIdP に接続します。

  • Domains を確認して IdP に関連付け、ユーザーにその IdP を使用して認証するよう強制します。

1
  1. まだ表示されていない場合は、以下から目的の組織を選択しますナビゲーション バーのOrganizationsメニュー

  2. [Organizations] メニューの横にある [Organization Settings] アイコンをクリックします。

    [ Organization Settings ]ページが表示されます。

2

Setup Federated Login または Manage Federation Settings セクションで、Visit Federation Management App をクリックします。

  1. [Configure Identity Providers] をクリックします。

  2. まだ ID プロバイダーを構成していない場合は、Setup Identity Provider をクリックします。それ以外の場合は、Identity Providers 画面で Add Identity Provider をクリックします。

  3. 次のSAMLプロトコル設定を入力または選択します。

    フィールド
    必要性
    説明

    Configuration Name

    必須

    この構成を識別する人間が判読できるラベル。

    Configuration Description

    任意

    この構成を説明する、人間が判読できるラベル。

    IdP Issuer URI

    必須

    SAML アサーション の発行者の識別子。

    このフィールドにプレースホルダー値を指定します。Atlas メタデータを提供したら、このフィールドの実際の値を IdP から取得します。

    IdP Single Sign-On URL

    必須

    SAML AuthNRequest の受信者の URL。

    このフィールドにプレースホルダー値を指定します。Atlas メタデータを提供したら、このフィールドの実際の値を IdP から取得します。

    IdP Signature Certificate

    必須

    PEM でエンコードされた IdP の公開キーの証明書。この値は IdP から取得できます。

    次のいずれかを実行できます。

    • コンピュータから証明書をアップロードします。または、

    • 証明書の内容をテキスト ボックスに貼り付けます。

    Request Binding

    必須

    AuthNRequest を送信するために使用される SAML 認証要求プロトコル バインディング。次のいずれかになります。

    • HTTP POST

    • HTTP REDIRECT

    Response Signature Algorithm

    必須

    SAML AuthNRequest に署名するために使用される応答アルゴリズム。次のいずれかになります。

    • SHA-256

    • SHA-1

  4. [Next] をクリックします。

Atlas で IdP を設定すると、必要な Atlas メタデータを IdP に提供できます。

  1. Atlas の Identity Provider 画面で Download metadata をクリックし、IdP に必要なメタデータをダウンロードします。Atlas はデータを .xml ファイルとして提供します。

    メタデータをダウンロードする方法を示す画像

    注意

    これらの値を手動でコピーして保存する場合、Atlas では Assertion Consumer Service URLAudience URI が提供されます。これらの値はメタデータのダウンロードに含まれています。

    注意

    SAML 信頼モデルでは、セットアップ時に信頼できるチャネルを介した証明書の交換が必要であり、CA 署名付き証明書は必要ありません。フェデレーティッド認証中、MongoDB Atlas とブラウザ間のすべてのトラフィックは、CA 署名証明書を使用して TLS 経由で実行されます。したがって、 metadata.xml 、リクエストの署名と署名の検証のために自己署名証明書のみを提供します。

  2. メタデータを IdP にアップロードします。

    これで、Atlas で最初の IdP マッピングを設定するときに設定したプレースホルダー IdP Issuer URI および IdP Single Sign-On URL の値を置き換えるために必要な情報が手に入りました。

  3. Atlas で、リンクされた IdPIdP Issuer URI および IdP Single Sign-On URL に設定されているプレースホルダー値を、IdP の適切な値に変更します。

  4. オプションで、IdP に RelayState URL を追加して、ユーザーを選択した URL に送信し、ログイン後の不要なリダイレクトを回避します。次のものを使用できます。

    目的地
    RelayState URL

    MongoDB Atlas

    MongoDB サポート ポータル

    https://auth.mongodb.com/app/salesforce/exk1rw00vux0h1iFz297/sso/saml

    MongoDB University

    https://auth.mongodb.com/home/mongodb_thoughtindustriesstaging_1/0oadne22vtcdV5riC297/alndnea8d6SkOGXbS297

    MongoDB Community フォーラム

    https://auth.mongodb.com/home/mongodbexternal_communityforums_3/0oa3bqf5mlIQvkbmF297/aln3bqgadajdHoymn297

    MongoDB フィードバック エンジン

    https://auth.mongodb.com/home/mongodbexternal_uservoice_1/0oa27cs0zouYPwgj0297/aln27cvudlhBT7grX297

    MongoDB JIRA

    https://auth.mongodb.com/app/mongodbexternal_mongodbjira_1/exk1s832qkFO3Rqox297/sso/saml
  5. Atlas に戻り、Finish をクリックします。

重要

IdPが Atlas にリンクされると、少なくとも 1 つのドメインをIdPにマップするまで、 Federation Management ConsoleInactiveとして表示されます。

IdP を Atlas に正常にリンクしたら、1 つ以上のドメインを ID プロバイダーにマップする必要があります。Atlas は、IdP を通じてこれらのドメインのユーザーを認証します。

戻る

フェデレーティッド