Docs Menu
Docs Home
/
MongoDB Cloud Manager
/ /

Okta からフェデレーティッド認証を構成する

項目一覧

  • 前提条件
  • 手順
  • ID プロバイダーとしての Okta の構成
  • (任意)組織をマッピングする
  • (任意)高度なフェデレーション認証オプションを構成する
  • ログイン URL を使用して Cloud Manager にサインインします

このガイドでは、Okta を IdPとして使用してフェデレーティッド認証を構成する方法を説明します。

Okta と Cloud Manager を統合した後、会社の認証情報を使用して Cloud Manager やその他の MongoDB Cloud Services にログインできます。

注意

Okta の組み込み MongoDB Cloud アプリを使用している場合は、 Okta のドキュメントを使用できます。

独自の SAML アプリを作成する場合は、ここで説明されている手順に従います。

Okta を Cloud Manager のIdPとして使用するには、次のものが必要です。

  • Okta アカウント。

  • ルーティング可能なカスタムのドメイン名。

以下の手順全体を通して、フェデレーション管理コンソールには 1 つのブラウザ タブが開き、Okta アカウントには 1 つのタブが開いていると便利です。

1

Okta 発信元証明書をダウンロードします。

  1. Okta アカウントで、管理者環境にアクセスするには、右上隅の Adminをクリックします。

  2. 左側のペインで、 Applications -> Applicationsに移動します。

  3. [ Create App Integrationをクリックします。 SAML 2.0Sign-in methodNextで を選択し、 をクリックします。

  4. App nameテキスト フィールドに目的のアプリケーション名を入力します。

  5. オプションで、ログイメージを追加し、アプリの可視性を設定します。 [ Nextをクリックします。

  6. Configure SAML画面で、次の情報を入力します。

    フィールド

    Single sign-on URL

    http://localhost

    Audience URI

    urn:idp:default

    重要

    これらはプレースホルダー値であり、本番環境での使用を意図したものではありません。 これらは後の手順で置き換えます。

    その他のフィールドを空にするか、デフォルト値に設定して、ページの下部にある [ Next ] をクリックします。

  7. Feedback画面で、 I'm an Okta customer adding an internal appを選択し、 Finishをクリックします。

  8. 見出し [ SAML Signing Certificates ] の下のページの下部で、 StatusActiveの最新の証明書を見つけます。これは作成したばかりの証明書です。

    [ Actionsをクリックし、ドロップダウン メニューから [ Download certificate ] を選択します。 生成された証明書は.certファイルです。 この手順の後半で使用するために、 .pem証明書に変換する必要があります。 これを行うには、任意のターミナルを開き、次のコマンドを実行します。

    openssl x509 -in path/to/mycert.crt -out path/to/mycert.pem -outform PEM
2
  1. まだ表示されていない場合は、以下から目的の組織を選択しますナビゲーション バーのOrganizationsメニュー

  2. [Organizations] メニューの横にある [Organization Settings] アイコンをクリックします。

    [ Organization Settings ]ページが表示されます。

3

Federated Authentication Settings で、[Open Federation Management App] をクリックします。

4
  1. 左側のペインで [ Identity Providersをクリックします。 以前にIdPを構成したことがある場合は、ページの右上隅にあるAdd Identity Providerをクリックし、次にSetup Identity Providerをクリックします。 以前にIdPを設定したことがない場合は、 Setup Identity Providerをクリックします。

  2. Configure Identity Provider画面で、次の情報を入力します。

    フィールド

    Configuration Name

    構成を識別する説明ラベル

    Issuer URI

    Fill with Placeholder Values

    Single Sign-On URL

    Fill with Placeholder Values

    Identity Provider Signature Certificate

    前のステップで Okta から受け取った証明書

    Request Binding

    HTTP POST

    Response Signature Algorithm

    SHA-256

  3. Okta 構成の値を表示するには、 Nextボタンをクリックします。

  4. [Finish] をクリックします。

5
  1. Okta アカウントで、SAML アプリケーションの ページに戻り、 Generalタブが選択されていることを確認します。

  2. SAML Settingsペインで [ Edit ] をクリックします。

    General Settingsページで、 Nextをクリックします。

  3. Configure SAML画面で、次の情報を入力します。

    Okta データ フィールド

    Single sign on URL

    Assertion Consumer Service URL MongoDB Cloud Manager FMC からの。

    チェックボックス:

    • Check Use this for Recipient URL and Destination URL.

    • Allow this app to request other SSO URLsをクリアします。

    Audience URI (SP Entity ID)

    Audience URI MongoDB Cloud Manager FMC からの。

    Default RelayState

    オプションで、IdP に RelayState URL を追加して、ユーザーを選択した URL に送信し、ログイン後の不要なリダイレクトを回避します。次のものを使用できます。

    目的地
    RelayState URL

    MongoDB MongoDB Cloud Manager

    MongoDB Cloud Managerフェデレーション管理アプリの ID プロバイダー構成用に生成されたLogin URL

    MongoDB サポート ポータル

    https://auth.mongodb.com/app/salesforce/exk1rw00vux0h1iFz297/sso/saml

    MongoDB University

    https://auth.mongodb.com/home/mongodb_thoughtindustriesstaging_1/0oadne22vtcdV5riC297/alndnea8d6SkOGXbS297

    MongoDB Community フォーラム

    https://auth.mongodb.com/home/mongodbexternal_communityforums_3/0oa3bqf5mlIQvkbmF297/aln3bqgadajdHoymn297

    MongoDB フィードバック エンジン

    https://auth.mongodb.com/home/mongodbexternal_uservoice_1/0oa27cs0zouYPwgj0297/aln27cvudlhBT7grX297

    MongoDB JIRA

    https://auth.mongodb.com/app/mongodbexternal_mongodbjira_1/exk1s832qkFO3Rqox297/sso/saml

    Name ID format

    未指定

    Application username

    メールアドレス

    Update application username on

    作成と更新

  4. Okta 構成ページでClick Show Advanced Settingsリンクをクリックし、次の値が設定されていることを確認します。

    Okta データ フィールド

    Response

    Signed

    Assertion Signature

    Signed

    Signature Algorithm

    RSA-SHA256

    Digest Algorithm

    SHA256

    Assertion Encryption

    Unencrypted

  5. 残りのAdvanced Settingsフィールドはデフォルト状態のままにします。

  6. [ Attribute Statements (optional) ] セクションまで下にスクロールし、次の値を持つ 4 つの属性を作成します。

    名前
    名前の形式

    未指定

    user.firstName

    未指定

    user.lastName

    重要

    名前列の値は大文字と小文字を区別します。 表示されているとおりに正確に入力します。

    注意

    Okta がアクティブなサーバーに接続されている場合、これらの値は異なる場合があります。
    ディレクトリ。 適切な値については、ユーザーの名、姓、完全なメール アドレスを含む Active Directory フィールドを使用します。
  7. (任意)ロール マッピングを使用する場合は、 Group Attribute Statements (optional)セクションまで下にスクロールし、次の値を持つ属性を作成します。

    名前
    名前の形式
    フィルター

    MemberOf

    未指定

    正規表現に一致する

    .*

    このフィルターは、ユーザーに関連付けられているすべてのグループ名と一致します。 MongoDB Cloud Manager に送信されるグループ名をさらにフィルタリングするには、Filter フィールドとValue フィールドを調整します。

  8. ページの下部にある [ Nextをクリックします。

  9. Feedback 画面で、Finish をクリックします。

6

MongoDB Cloud Manager FMCでプレースホルダー値を置き換えます。

  1. Okta アプリケーション ページで、ページの中央にあるView Setup Instructionsをクリックします。

  2. MongoDB Cloud Manager FMCで、 Identity Providersページに移動します。 Okta を見つけて、 Editをクリックします。

  3. 以下のフィールドのプレースホルダー値を置き換えます。

    FMC データ フィールド

    Issuer URI

    Identity Provider Issuer Okta 設定手順 ページの 値。

    Single Sign-on URL

    Identity Provider Single Sign-On URL Okta 設定手順 ページの 値。

    Identity Provider Signature Certificate

    Okta 設定手順 ページからX.509 Certificateをコピーし、内容を直接貼り付けます。

  4. [Next] をクリックします。

  5. [Finish] をクリックします。

7

ユーザーを Okta アプリケーションに割り当てます。

  1. Okta アプリケーション ページで、[ Assignments ] タブをクリックします。

  2. Okta を使用するすべての MongoDB Cloud Manager 組織ユーザーが登録されていることを確認します。

ドメインをIdPにマッピングすると、ドメインのユーザーを ID プロバイダー構成のLogin URLに誘導する必要があることが Cloud Manager に通知されます。

ユーザーは Cloud Manager ログイン ページにアクセスする際に、メール アドレスを入力します。 メール ドメインが IdP に関連付けられている場合、その IdP のログイン URL に送信されます。

重要

単一のドメインを複数の ID プロバイダーにマッピングできます。そうすると、MongoDB Cloud コンソールを使用してログインするユーザーは、ドメインにマップされた最初の一致する IdP に自動的にリダイレクトされます。

代替 ID プロバイダーを使用してログインするには、ユーザーは次のいずれかを行う必要があります。

  • 希望する IdP を介して MongoDB Cloud ログインを開始します。または、

  • 目的の IdPに関連付けられた Login URL を使用してログインします。

Federation Management Console を使用して、ドメインを IdP にマッピングします。

1
  1. まだ表示されていない場合は、以下から目的の組織を選択しますナビゲーション バーのOrganizationsメニュー

  2. [Organizations] メニューの横にある [Organization Settings] アイコンをクリックします。

    [ Organization Settings ]ページが表示されます。

2

Manage Federation Settings で、[Visit Federation Management App] をクリックします。

3
  1. [Add a Domain] をクリックします。

  2. Domains 画面で、Add Domain をクリックします。

  3. ドメイン マッピングに次の情報を入力します。

    フィールド
    説明

    表示名

    ドメインを簡単に識別するための名前。

    ドメイン名

    ドメイン名 マッピングする

  4. [Next] をクリックします。

4

注意

検証方法は一度選択できますが、変更することはできません。別の検証方法を選択するには、ドメイン マッピングを削除して再作成します。

HTML ファイルをアップロードしてドメインを確認するか、DNS TXT レコードを作成してドメインを確認するかに応じて、適切なタブを選択します。

ドメインの所有者であることを検証するために、検証キーを含む HTML ファイルをアップロードします。

  1. [HTML File Upload] をクリックします。

  2. [Next] をクリックします。

  3. Cloud Manager によって提供されるmongodb-site-verification.htmlファイルをダウンロードします。

  4. HTMLファイルを所有するドメイン上の Web サイトにアップロードします。 <https://host.domain>/mongodb-site-verification.htmlのファイルにアクセスできる必要があります。

  5. [Finish] をクリックします。

ドメインの所有権を検証するには、ドメイン プロバイダーでDNS TXT レコードを作成します。 各DNSレコードにより、特定の Cloud Manager 組織と特定のドメインが関連付けされます。

  1. [DNS Record] をクリックします。

  2. [Next] をクリックします。

  3. 提供された TXT レコードをコピーします。TXT レコードの形式は次のとおりです。

    mongodb-site-verification=<32-character string>
  4. ドメイン名プロバイダー(GoDaddy.com や networksolutions.com など)にログインします。

  5. Cloud Manager により提供される TXT レコードをドメインに追加します。

  6. Cloud Manager に戻り、 [ Finish ] をクリックします。

5

Domains画面には、 IdPにマッピングした未検証ドメインと検証済みドメインの両方が表示されます。 ドメインを確認するには、対象ドメインのVerifyボタンをクリックします。 Cloud Manager では、検証が成功したかどうかが画面上部のバナーで表示されます。

ドメインを正常に検証したら、 Federation Management Consoleを使用してドメインを Okta に関連付けます。

1
2
3
4

重要

テストを開始する前に、 IdP Bypass SAML モード の URL をコピーして保存します。Cloud Manager 組織からロックアウトされた場合にフェデレーション認証をバイパスするには、この URL を使用します。

テスト中は、ロックアウトをさらに防ぐために、セッションを Federation Management Console にログインしたままにしておきます。

Bypass SAML Mode の詳細については、バイパス SAML モードを参照してください。

ドメインと Okta の統合をテストするには、 Federation Management Consoleを使用します。

1
2

確認済みのドメインがmongodb.comの場合は、 alice@mongodb.comと入力します。

3

ドメインを正しくマッピングした場合は、認証のためにIdPにリダイレクトされます。 IdPによる認証が成功すると、Cloud Manager にリダイレクトされます。

注意

Cloud Manager のログイン ページをバイパスするには、 IdPLogin URLに直接アクセスします。 Login URLでは認証のためにIdPに直接接続します。

Federation Management Consoleを使用して、ドメインのユーザーに特定の Cloud Manager 組織へのアクセス権を割り当てます。

1
  1. まだ表示されていない場合は、以下から目的の組織を選択しますナビゲーション バーのOrganizationsメニュー

  2. [Organizations] メニューの横にある [Organization Settings] アイコンをクリックします。

    [ Organization Settings ]ページが表示されます。

2

Manage Federation Settings で、[Visit Federation Management App] をクリックします。

3
  1. [View Organizations] をクリックします。

    Cloud Manager には、あなたがOrganization Ownerであるすべての組織が表示されます。

    フェデレーション アプリケーションにまだ接続していない組織では、Actions 列に Connect ボタンが表示されます。

  2. 目的の組織の Connect ボタンをクリックします。

4

管理コンソールの Organizations 画面で次の作業を行います。

  1. IdP にマッピングする組織の Name をクリックします。

  2. Identity Provider 画面で、Apply Identity Provider をクリックします。

    Cloud Manager は、Cloud Manager にリンクしたすべてのIdPを表示するIdentity Providers画面にユーザーを誘導します。

  3. 組織に適用する IdP については、Modify をクリックします。

  4. Edit Identity Providerフォームの下部で、このIdPが適用される組織を選択します。

  5. [Next] をクリックします。

  6. [Finish] をクリックします。

5
  1. 左側のナビゲーションで [ Organizations ] をクリックします。

  2. Organizationsのリストで、目的の組織に期待されるIdentity Providerがあることを確認します。

フェデレーション ユーザーと認証フローをより詳細に制御するために、フェデレーション認証の次の詳細オプションを構成できます。

注意

フェデレーティッド認証の次の詳細オプションを使用するには、組織をマッピングする必要があります。

Okta アプリケーションに割り当てたすべてのユーザーは、 Login URLで Okta 認証情報を使用して Cloud Manager にログインできます。 ユーザーは、 IdPにマッピングされた組織にアクセスできます。

重要

単一のドメインを複数の ID プロバイダーにマッピングできます。そうすると、MongoDB Cloud コンソールを使用してログインするユーザーは、ドメインにマップされた最初の一致する IdP に自動的にリダイレクトされます。

代替 ID プロバイダーを使用してログインするには、ユーザーは次のいずれかを行う必要があります。

  • 希望する IdP を介して MongoDB Cloud ログインを開始します。または、

  • 目的の IdPに関連付けられた Login URL を使用してログインします。

デフォルトの組織ロールを選択した場合、 Login URLを使用して Cloud Manager にログインする新しいユーザーには、指定したロールが付与されます。

戻る

Microsoft Entra ID