Docs Menu
Docs Home
/
MongoDB Cloud Manager
/ /

フェデレーティッド認証の詳細オプション

項目一覧

  • フェデレーション管理アクセス
  • 組織のデフォルトのユーザー ロールを割り当てる
  • ドメインによる組織へのアクセスの制限
  • SAMLモードをバイパスする
  • 有効化後にサインイン Bypass SAML Mode
  • ユーザーのメンバーシップをフェデレーションに制限する

フェデレーション ユーザーと認証フローをより詳細に制御するために、フェデレーション認証インスタンスで詳細オプションを構成できます。

フェデレーティッド認証はFederation Management Consoleから管理できます。 インスタンスにフェデレーション設定を委任している 1 つ以上の組織で Organization Ownerである限り、コンソールにアクセスできます。

Federation Management Consoleを開くには:

1
  1. まだ表示されていない場合は、以下から目的の組織を選択しますナビゲーション バーのOrganizationsメニュー

  2. [Organizations] メニューの横にある [Organization Settings] アイコンをクリックします。

    [ Organization Settings ]ページが表示されます。

2
MongoDB Atlas を構成して、各ユーザーを自動的にプロビジョニングできます。
は、マッピングされた組織内のデフォルトの ロール を持つ IdP を介して認証します。組織ごとに異なるロールを選択できます。

注意

選択した ロールは、組織内にロール をまだ持っていない場合、 IdP 経由で認証するユーザーにのみ適用されます。

1
2
3

デフォルトのユーザー ロールを削除するには、次をクリックします: [] ドロップダウンの横にある値。

承認されたドメインのリストを指定して、それらのドメイン外のユーザーが組織にアクセスすることを防ぐことができます。 このリストを使用して、組織内で承認されたドメインのリストを定義し、それらのドメインをIdPに直接マッピングする必要はありません。

重要

Considerations

Restrict Access by Domainオプションを有効にすると、次の状況が発生します。

  • 承認されたドメインのリストにあるメールアドレスを持つ新しいユーザーのみを組織に招待できます。

  • 承認されたリストにユーザー名にドメインが含まれていないユーザーは、組織へのアクセスが制限されません

  • IdPにマッピングされているドメインは、承認されたリストに自動的に追加されます。

Federation Management Consoleから を使用します。

1
2
3

この設定を有効にすると、Cloud Manager はIdPにマッピングされているすべてのドメインをApproved Domainsのリストに自動的に追加します。

4

承認されたリストにドメインを追加するには、次のいずれかを実行します。

  1. [ Add Domains from Existing Membersをクリックします。 Cloud Manager は、組織内の既存のユーザーのメールアドレスのドメインを含むモーダルを開きます。 このリストを使用して、組織のすでに一部のユーザーのアクセスを簡単に有効にします。

    チェックボックスを使用して必要なドメインを選択し、[ Add ] をクリックして承認済みリストに追加します。

  2. [ Add Domainsをクリックします。 Cloud Manager では、承認されたリストにドメインを手動で追加できるモーダルが開きます。

    入力ボックスに承認するドメインを入力し、 [ Add ] をクリックします。 承認するドメインごとにこのプロセスを繰り返します。

注意

ユーザーのメンバーシップをフェデレーションに制限した場合、フェデレーション外の組織へのアクセスに使用されるドメインを追加すると、Cloud Manager は警告を発します。

必要なドメインをすべて追加したら、[ Submit ] をクリックします。

Bypass SAML Mode が提供するログインURLはフェデレーティッド認証をバイパスし、代わりに Cloud Manager の認証情報で認証できるようになります。

フェデレーティッド認証設定が正しく構成されていない場合、 IdPを介して Cloud Manager にログインできない可能性があります。 Bypass SAML Mode URLは、Cloud Manager 組織からロックアウトされるのを防ぐのに役立ちます。 IdPの構成とテスト中に、Cloud Manager にログインし、フェデレーション認証設定を正しく構成できることを確認するために、 Bypass SAML Mode URL をメモすることをお勧めします。

Bypass SAML Mode URL は個々のIdPに関連付けられ、IdP のLogin URLに対応します。

Bypass SAML Mode はデフォルトで有効になっていますが、フェデレーション認証が正しく構成されたことが確実な場合は、セキュリティ対策として無効にしたい場合があります。

Federation Management ConsoleからBypass SAML Modeを設定するには次の操作を行います。

1
2
3
4

Bypass SAML Modeを有効にした後は、以下を使用して Cloud Manager にログインする必要があります。

  • IdP Bypass SAML Mode URL

  • ユーザー名:

    • IdP にマッピングしたドメインが 含まれます。

    • フェデレーティッド認証を設定する前に、 を使用して MongoDB Atlas または Cloud Manager にサインインしたこと

フェデレーティッド認証インスタンス内のユーザーが新しい組織を作成したり、認証情報を使用してフェデレーション外の組織にアクセスしたりすることを防ぐことができます。 フェデレーティッド ユーザーを完全に制御し、フェデレーティッド ユーザーが必要な Cloud Manager 組織にのみアクセスできるようにするには、この設定を構成します。

重要

この設定は、フェデレーション内のすべての IdP と組織を含むフェデレーション全体に適用されます。

この設定を有効にすると、次のことを行います。

  • フェデレーティッド認証インスタンス内のどのユーザーも、フェデレーション外の組織にアクセスすることはできません。

    • 同様に、フェデレーション ユーザーは、フェデレーション外の組織に参加するための招待を承諾したり受信したりすることはできません。

  • フェデレーション内でOrganization Ownerロールを持つユーザーは、引き続き新しい組織を作成できます。 これらの新しい組織は、フェデレーションに自動的に接続されます。

  • フェデレーション内にOrganization Ownerロールがないユーザーは、新しい組織を作成できません。

  • フェデレーション内のユーザーは、メンバーシップの制限前にアクセスできた組織へのアクセスを保持します。

Federation Management Consoleから を使用します。

1
2
3

フェデレーションに、フェデレーション外の組織に属するユーザーが含まれている場合、Cloud Manager は警告バナーを表示します。 競合するユーザーを確認するには、[ View User Conflicts ] をクリックします。

Cloud Manager には、フェデレーション制限に競合するユーザーのリストを含むモーダルが表示されます。 これらのユーザーに連絡して、制限を認識させることを検討してください。

戻る

Okta