フェデレーティッド認証の詳細オプション
項目一覧
- Cloud Managerへのプログラムによるアクセスのための OAuth 2.0認証はプレビュー機能として利用できます。
- 機能および関連するドキュメントは、プレビュー期間中にいつでも変更される可能性があります。 OAuth2.0 認証を使用するには、 Cloud Manager Public APIへのリクエストで使用する サービス アカウント を作成します。
フェデレーション ユーザーと認証フローをより詳細に制御するために、フェデレーション認証インスタンスで詳細オプションを構成できます。
フェデレーション管理アクセス
フェデレーティッド認証はFederation
Management Consoleから管理できます。 インスタンスにフェデレーション設定を委任している 1 つ以上の組織で Organization Owner
である限り、コンソールにアクセスできます。
Federation Management Consoleを開くには:
MongoDB Cloud ManagerGoMongoDB Cloud Managerで、Organization Settings ページにGoします。
まだ表示されていない場合は、以下から目的の組織を選択しますナビゲーション バーのOrganizationsメニュー
[Organizations] メニューの横にある [Organization Settings] アイコンをクリックします。
[ Organization Settings ]ページが表示されます。
組織のデフォルトのユーザー ロールを割り当てる
ドメインによる組織へのアクセスの制限
承認されたドメインのリストを指定して、それらのドメイン外のユーザーが組織にアクセスすることを防ぐことができます。 このリストを使用して、組織内で承認されたドメインのリストを定義し、それらのドメインをIdPに直接マッピングする必要はありません。
重要
Considerations
Restrict Access by Domainオプションを有効にすると、次の状況が発生します。
承認されたドメインのリストにあるメールアドレスを持つ新しいユーザーのみを組織に招待できます。
承認されたリストにユーザー名にドメインが含まれていないユーザーは、組織へのアクセスが制限されません。
IdPにマッピングされているドメインは、承認されたリストに自動的に追加されます。
Federation Management Consoleから を使用します。
承認されたリストにドメインを追加します。
承認されたリストにドメインを追加するには、次のいずれかを実行します。
[ Add Domains from Existing Membersをクリックします。 Cloud Manager は、組織内の既存のユーザーのメールアドレスのドメインを含むモーダルを開きます。 このリストを使用して、組織のすでに一部のユーザーのアクセスを簡単に有効にします。
チェックボックスを使用して必要なドメインを選択し、[ Add ] をクリックして承認済みリストに追加します。
[ Add Domainsをクリックします。 Cloud Manager では、承認されたリストにドメインを手動で追加できるモーダルが開きます。
入力ボックスに承認するドメインを入力し、 [ Add ] をクリックします。 承認するドメインごとにこのプロセスを繰り返します。
注意
ユーザーのメンバーシップをフェデレーションに制限した場合、フェデレーション外の組織へのアクセスに使用されるドメインを追加すると、Cloud Manager は警告を発します。
必要なドメインをすべて追加したら、[ Submit ] をクリックします。
SAMLモードをバイパスする
Bypass SAML Mode が提供するログインURLはフェデレーティッド認証をバイパスし、代わりに Cloud Manager の認証情報で認証できるようになります。
フェデレーティッド認証設定が正しく構成されていない場合、 IdPを介して Cloud Manager にログインできない可能性があります。 Bypass SAML Mode URLは、Cloud Manager 組織からロックアウトされるのを防ぐのに役立ちます。 IdPの構成とテスト中に、Cloud Manager にログインし、フェデレーション認証設定を正しく構成できることを確認するために、 Bypass SAML Mode URL をメモすることをお勧めします。
各Bypass SAML Mode URL は個々のIdPに関連付けられ、IdP のLogin URLに対応します。
Bypass SAML Mode はデフォルトで有効になっていますが、フェデレーション認証が正しく構成されたことが確実な場合は、セキュリティ対策として無効にしたい場合があります。
Federation Management ConsoleからBypass SAML Modeを設定するには次の操作を行います。
有効化後にサインイン Bypass SAML Mode
Bypass SAML Modeを有効にした後は、以下を使用して Cloud Manager にログインする必要があります。
ユーザーのメンバーシップをフェデレーションに制限する
フェデレーティッド認証インスタンス内のユーザーが新しい組織を作成したり、認証情報を使用してフェデレーション外の組織にアクセスしたりすることを防ぐことができます。 フェデレーティッド ユーザーを完全に制御し、フェデレーティッド ユーザーが必要な Cloud Manager 組織にのみアクセスできるようにするには、この設定を構成します。
重要
この設定は、フェデレーション内のすべての IdP と組織を含むフェデレーション全体に適用されます。
Considerations
この設定を有効にすると、次のことを行います。
フェデレーティッド認証インスタンス内のどのユーザーも、フェデレーション外の組織にアクセスすることはできません。
同様に、フェデレーション ユーザーは、フェデレーション外の組織に参加するための招待を承諾したり受信したりすることはできません。
フェデレーション内で
Organization Owner
ロールを持つユーザーは、引き続き新しい組織を作成できます。 これらの新しい組織は、フェデレーションに自動的に接続されます。フェデレーション内に
Organization Owner
ロールがないユーザーは、新しい組織を作成できません。フェデレーション内のユーザーは、メンバーシップの制限前にアクセスできた組織へのアクセスを保持します。
手順
Federation Management Consoleから を使用します。