フェデレーティッド認証の詳細オプション
項目一覧
フェデレーション ユーザーと認証フローをより詳細に制御するために、フェデレーション認証インスタンスで詳細オプションを構成できます。
フェデレーション管理アクセス
フェデレーティッド認証はFederation
Management Consoleから管理できます。 インスタンスにフェデレーション設定を委任している 1 つ以上の組織で Organization Ownerである限り、コンソールにアクセスできます。
Federation Management Consoleを開くには:
MongoDB Cloud Managerで、Go Organization Settingsページに します。
まだ表示されていない場合は、以下から目的の組織を選択しますナビゲーション バーのOrganizationsメニュー
[Organizations] メニューの横にある [Organization Settings] アイコンをクリックします。
[ 組織設定]ページが表示されます。
組織のデフォルトのユーザー ロールを割り当てる
ドメインによる組織へのアクセスの制限
承認されたドメインのリストを指定して、それらのドメイン外のユーザーが組織にアクセスすることを防ぐことができます。 このリストを使用して、組織内で承認されたドメインのリストを定義し、それらのドメインをIdPに直接マッピングする必要はありません。
重要
Considerations
Restrict Access by Domainオプションを有効にすると、次の状況が発生します。
承認されたドメインのリストにあるメールアドレスを持つ新しいユーザーのみを組織に招待できます。
承認されたリストにユーザー名にドメインが含まれていないユーザーは、組織へのアクセスが制限されません。
IdPにマッピングされているドメインは、承認されたリストに自動的に追加されます。
Federation Management Consoleから を使用します。
承認されたリストにドメインを追加します。
承認されたリストにドメインを追加するには、次のいずれかを実行します。
[ Add Domains from Existing Membersをクリックします。 Cloud Manager は、組織内の既存のユーザーのメールアドレスのドメインを含むモーダルを開きます。 このリストを使用して、組織のすでに一部のユーザーのアクセスを簡単に有効にします。
チェックボックスを使用して必要なドメインを選択し、[ Add ] をクリックして承認済みリストに追加します。
[ Add Domainsをクリックします。 Cloud Manager では、承認されたリストにドメインを手動で追加できるモーダルが開きます。
入力ボックスに承認するドメインを入力し、 [ Add ] をクリックします。 承認するドメインごとにこのプロセスを繰り返します。
注意
ユーザーのメンバーシップをフェデレーションに制限した場合、フェデレーション外の組織へのアクセスに使用されるドメインを追加すると、Cloud Manager は警告を発します。
必要なドメインをすべて追加したら、[ Submit ] をクリックします。
SAMLモードをバイパスする
Bypass SAML Mode が提供するログインURLはフェデレーティッド認証をバイパスし、代わりに Cloud Manager の認証情報で認証できるようになります。
フェデレーティッド認証設定が正しく構成されていない場合、 IdPを介して Cloud Manager にログインできない可能性があります。 Bypass SAML Mode URLは、Cloud Manager 組織からロックアウトされるのを防ぐのに役立ちます。 IdPの構成とテスト中に、Cloud Manager にログインし、フェデレーション認証設定を正しく構成できることを確認するために、 Bypass SAML Mode URL をメモすることをお勧めします。
各Bypass SAML Mode URL は個々のIdPに関連付けられ、IdP のLogin URLに対応します。
Bypass SAML Mode はデフォルトで有効になっていますが、フェデレーション認証が正しく構成されたことが確実な場合は、セキュリティ対策として無効にしたい場合があります。
Federation Management ConsoleからBypass SAML Modeを設定するには次の操作を行います。
有効化後にサインイン Bypass SAML Mode
Bypass SAML Modeを有効にした後は、以下を使用して Cloud Manager にログインする必要があります。
ユーザーのメンバーシップをフェデレーションに制限する
フェデレーティッド認証インスタンス内のユーザーが新しい組織を作成したり、認証情報を使用してフェデレーション外の組織にアクセスしたりすることを防ぐことができます。 フェデレーティッド ユーザーを完全に制御し、フェデレーティッド ユーザーが必要な Cloud Manager 組織にのみアクセスできるようにするには、この設定を構成します。
重要
この設定は、フェデレーション内のすべての IdP と組織を含むフェデレーション全体に適用されます。
Considerations
この設定を有効にすると、次のことを行います。
フェデレーティッド認証インスタンス内のどのユーザーも、フェデレーション外の組織にアクセスすることはできません。
同様に、フェデレーション ユーザーは、フェデレーション外の組織に参加するための招待を承諾したり受信したりすることはできません。
フェデレーション内で
Organization Ownerロールを持つユーザーは、引き続き新しい組織を作成できます。 これらの新しい組織は、フェデレーションに自動的に接続されます。フェデレーション内に
Organization Ownerロールがないユーザーは、新しい組織を作成できません。フェデレーション内のユーザーは、メンバーシップの制限前にアクセスできた組織へのアクセスを保持します。
手順
Federation Management Consoleから を使用します。