OIDC で Workforce IdP を設定する

Atlas に新しいアプリケーションを登録します。

クライアント タイプとして public client/native applicationを選択します。

Redirect URLの値をhttp://localhost:27097/redirect に設定します。

（条件付き）グループで認証する場合は、groups クレームを追加または有効にします。

グループの場合、この手順により、アクセス トークンにユーザー認証のグループ メンバーシップ情報が含まれていることを確認できます。 MongoDB は、認可のためにグループ クレームで送信された値を使用します。

（任意）MongoDB クライアントでトークンを更新してユーザー エクスペリエンスを向上させる場合は、更新トークンを許可します。

（任意）アクセス トークンの有効期間（ expクレーム）をデータベース接続セッション時間と一致するように設定します。

アプリケーションを登録します。

1. App registrationsに移動します。

   1. Azure portal で アカウント、検索、Microsoft Entra ID の順にクリックします。

   2. 左側のナビゲーションの Manage セクションで、App registrations をクリックします。

2. [New registration] をクリックします。

3. 次の値を適用します。

   フィールド	値
   Name	Atlas Database - Workforce
   Supported Account Types	Accounts in this organizational directory only (single tenant)
   Redirect URI	- Public client/native (mobile & desktop) - http://localhost:27097/redirect

4. [Register] をクリックします。

アプリケーションの登録の詳細については、 Azure のドキュメントを参照してください。

グループ クレームを追加します。

1. Token Configurationに移動します。

   左側のナビゲーションの Manage セクションで、Token Configuration をクリックします。

2. [Add groups claim] をクリックします。

3. Edit groups claimモーダルで、 Securityを選択します。

   選択するグループは、Azure 環境で構成したグループのタイプによって異なります。 適切なグループ情報を送信するには、別のタイプのグループを選択する必要がある場合があります。

4. Customize token properties by typeセクションで、 Group IDのみを選択します。

5. [Add] をクリックします。

グループ クレームを追加する方法の詳細については、 Azure ドキュメント を参照してください。

アクセス トークンにユーザー識別子クレームを追加します。

1. [Add optional claim] をクリックします。

2. Add optional claimモーダルで、 Accessを選択します。

3. メールなど、MongoDB アクセス ログで参照できるユーザー識別子を含むクレームを選択します。

   UPNクレームを使用して、メール アドレスを持つユーザーを識別できます。

4. [Add] をクリックします。

5. Microsoft Graph Permissionsノートで、[] ボックスをオンにし、[ Addをクリックします。

詳しくは、 Azure のドキュメント を参照してください。

マニフェストを更新します。

1. 左側のナビゲーションの Manage セクションで、Manifest をクリックします。

2. nullから2にaccessTokenAcceptedVersionを更新します。

   数字2は Microsoft のアクセス トークンのバージョン 2 を表します。 他のアプリケーションは、Active Directory が管理するユーザーの ID の署名された認証局としてこれを使用できます。 バージョン 2 では、トークンはJSON web token MongoDBが理解する であることが保証されます。

3. [Save] をクリックします。

オプションのクレームを追加する方法の詳細については、 Azure のドキュメント を参照してください。

メタデータを記憶します。

1. 左側のナビゲーションで [ Overview ] をクリックします。

   Application (client) ID値をコピーします。

2. 上部のナビゲーションで、 Endpointsをクリックします。

   /.well-known/openid-configuration部分を除いてOpenID Connect metadata document値をコピーします。

   この値は、 OpenID Connect metadata document URLでissuerの値をコピーすることで取得することもできます。

次の表は、これらの Microsoft Entra ID UI の値が Atlas 構成プロパティでどのようにマップされるかを示しています。

フェデレーション管理コンソールにGoします。

1. 組織設定に移動します。

2. [] をクリックしOpen Federation Management App 。

ドメイン所有権を追加して確認します。

IdPに登録するドメインの所有権を確認する必要があります。 Atlas で SAML SSO のドメインをすでに登録している場合は、この手順を省略できます。

1. 左側のサイドバーで [Domains（ドメイン）] を選択します。

2. Add Domainボタンをクリックします。

3. Display Nameボックスに表示名を入力します。

4. Domain Nameボックスにドメイン名を入力します。

5. ドメインの所有者であることを確認するために使用する方法を選択して、HTML File Upload DNS Recordボタンまたは ボタンのいずれかをクリックします。

6. HTML File Uploadを選択した場合は、提供された HTML ファイルをダウンロードし、ドメインにアップロードすると、 https://<your-domain/mongodb-site-verification.html>がアクセスできるようになります。

7. DNS Recordを選択した場合は、提供されたTXT Recordをコピーし、ドメイン プロバイダーにアップロードします。

8. [Continue] をクリックします。

9. 最後に、 Domainsページで、新しく追加されたドメインの [ Verify ] ボタンをクリックします。

識別プロバイダーを構成します。

1. 左側のサイドバーで [ Identity Providers ] をクリックします。

2. 次のいずれかの手順を行います。

   • まだ ID プロバイダーを構成していない場合は、Setup Identity Provider をクリックします。

   • それ以外の場合は、 Identity Providers画面でConfigure Identity Provider(s)をクリックします。

3. [Workforce Identity Provider ] を選択し、[Continue] をクリックします。

4. OIDC for Data Access を選択します。

次のワークフォース IdP のプロトコル設定を入力します。

[Save and Finish] をクリックします。

少なくとも 1 つのドメインを Workforce IdP に関連付けます。

1. Workforce IdP カードで、 Associate Domainsをクリックします。

2. Associate Domains with Identity Providerモーダルで、1 つ以上のドメインを選択します。

3. [Submit] をクリックします。

組織内で従業員 IdP を有効にします。

1. [Connect Organizations] をクリックします。

2. Workforce IdP に接続する組織については、 Configure Accessをクリックします。

3. [Connect Identity Provider] をクリックします。

   注意

   別のIdPが設定されている場合、このボタンはConnect Identity Provider(s)と表示されます。

Workforce Identity Federation for Data Access を選択します。

Connect Identity Provider(s)モーダルで、 PurposeがWorkforce Identity FederationであるWorkforce IdP を選択します。

[Connect] をクリックします。

Workforce IdP を組織に接続すると、Atlas はその組織内のすべてのプロジェクトに対して Workforce IdP を有効にします。

AtlasGoDatabase AccessAtlas で、プロジェクトの ページにGoします。

1. まだ表示されていない場合は、プロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

2. まだ表示されていない場合は、ナビゲーション バーの Projects メニューからプロジェクトを選択します。

3. サイドバーで、 Security見出しの下のDatabase Accessをクリックします。

   [データベース アクセス ]ページが表示されます。

Add New Database User or Group ダイアログ ボックスを開きます。

Add New Database User or Group をクリックします。

Federated Auth を選択します。

Authentication Methodセクションで、[Federated Auth] を選択します。

[IdP] と ID を選択します

。 Select Identity Providerセクションで、構成されたOIDC IdPを選択します。

1. 設定したWorkforce IdP に関連付けられているユーザー識別子またはグループ識別子のいずれかを指定します。

ユーザーまたはグループの特権を割り当てます。

新しいユーザーまたはグループに特権を割り当てるには、次のタスクの 1 つ以上を実行します。

• [Built-in Role] ドロップダウンメニューから [組み込みロール] を選択します。

  • Atlas UI では、データベースグループごとに 1 つの組み込みロールを選択できます。

  • デフォルト オプションを削除する場合は、 Add Built-in Roleをクリックして新しい組み込みロールを選択できます。

• カスタムロールを選択するか追加します。

  • カスタムロール が定義されている場合は、 Custom Rolesセクションを展開し、 Custom Rolesドロップダウンメニューから 1 つ以上のロールを選択できます。

  • さらにカスタムロールを追加するには、 Add Custom Roleをクリックします。

  • プロジェクトのカスタムロールを表示するには、 Custom Rolesリンクをクリックします。

• 特権を追加します。

  • [ Specific Privilegesセクションを展開し、 Specific Privilegesドロップダウン メニューから 1 つ以上の 特権 を選択します。

  • さらに特権を追加するには、 Add Specific Privilegeをクリックします。 こうすることで、個々のデータベースとコレクションに対するグループ固有の特権が割り当てられます。

• 適用されたロールまたは特権を削除します。

  • をクリックしますの横にあるDelete

    削除するロールまたは特権。

  注意

  Atlas はオプションを 1 つだけ選択した場合は、 Built-in Role 、 Custom Role 、またはSpecific Privilege選択の横にDeleteアイコン。 選択したロールまたは特権は、別のロールまたは特権を適用すると、削除できます。

Atlas では、組み込みロール、複数のカスタムロール、および複数の特定の特権をデータベースグループに適用できます。

認可の詳細については、MongoDB マニュアルの「 ロールベースのアクセス制御」と「 組み込みロール 」を参照してください。

ユーザーまたはグループがアクセスできるプロジェクト内のリソースを指定します。

デフォルトでは、グループはプロジェクト内のすべてのクラスターと フェデレーティッドデータベースインスタンス にアクセスできます。 特定のクラスターとフェデレーティッドデータベースインスタンスへのアクセスを制限するには、次の手順に従います。

1. Restrict Access to Specific Clusters/Federated Database Instances を On に切り替えます。

2. Grant Access Toリストからグループにアクセスを許可するクラスターとフェデレーティッドデータベースインスタンスを選択します。

一時ユーザーまたはグループとして保存します。

Temporary UserまたはTemporary GroupをOnに切り替え、Atlas がユーザーまたはグループを削除できるようになるまでの時間を [ Temporary User DurationまたはTemporary Group Durationドロップダウンから選択します。 グループが存在する期間として、次のいずれかから選択できます。

• 6 時間

• 1 日

• 1 週間

[ Database Usersタブには、Atlas が一時ユーザーまたはグループを削除するまでの残り時間が表示されます。 Atlas がユーザーまたはグループを削除すると、一時ユーザーのまたはグループの認証情報を使用するクライアントやアプリケーションは、クラスターにアクセスできなくなります。

新しいデータベースユーザーまたはグループを追加します。

次のいずれかの手順を行います。

• ユーザーを追加した場合は、[ Add User ] ボタンをクリックします。

• グループを追加した場合は、 Add Group ] ボタンをクリックします。

ワークフォース ID プロバイダーで署名キーを更新します。

Atlas で、Organization Settings ページに移動します。

1. まだ表示されていない場合は、以下から目的の組織を選択しますナビゲーション バーのOrganizationsメニュー

2. [Organizations] メニューの横にある [Organization Settings] アイコンをクリックします。

   [ Organization Settings ]ページが表示されます。

フェデレーション管理アプリに移動します。

Setup Federated Login または Manage Federation Settings セクションで、Visit Federation Management App をクリックします。

Identity Providers左側のサイドバーで [] をクリックします。

[ Workforce IdP ] カードまでスクロールします。

[Revoke] ボタンをクリックします。

Revokeをクリックすると、MongoDB は JWKS エンドポイントを介して新しいキーを取得します。 JWKS を取り消してからクライアント（ mongoshやCompassなど）を再起動する必要があります。

Atlas で、Organization Settings ページに移動します。

1. まだ表示されていない場合は、以下から目的の組織を選択しますナビゲーション バーのOrganizationsメニュー

2. [Organizations] メニューの横にある [Organization Settings] アイコンをクリックします。

   [ Organization Settings ]ページが表示されます。

フェデレーション管理アプリに移動します。

Setup Federated Login または Manage Federation Settings セクションで、Visit Federation Management App をクリックします。

Workforce IdP に接続した各組織の接続を切断します。

1. 左側のサイドバーで [ Organizations ] をクリックします。

2. Workforce IdP が有効になっている組織をクリックします。

3. Workforce IdP カードのManageドロップダウンの下にあるDisconnectをクリックします。

4. Disconnect identity provider?モーダルで、 Disconnectをクリックします。

   IdP を切断すると、 IdPを使用して認証するユーザーは、 Projectテーブルにリストされている Atlas プロジェクトの Workforce IdPにアクセスできなくなります。

Identity Providers左側のサイドバーで [] をクリックします。

[ Workforce IdP ] カードで、Delete [ ] をクリックします。

Delete Identity Provider?モーダルで、 Deleteをクリックします。