MongoDB の認証と認可の構成
MongoDB 配置では、このページで説明されているアクセス制御メカニズムを使用できます。 配置を追加するときに認証設定を指定します。 配置を追加した後にセキュリティ設定を編集できます。
配置でアクセス制御を使用する場合、MongoDB Agent は適切なアクセス権を持つ MongoDB ユーザーとして配置で認証される必要があります。 Cloud Manager を通じて認証を有効にして構成します。
Considerations
アクセス制御を有効にするには、クライアントがデータベースにアクセスできるようにMongoDB ユーザーを作成する 必要があります。
アクセス制御を有効にすると、Cloud Manager は MongoDB Agent のユーザーを自動的に作成します。 MongoDB Agent は、他のユーザーを管理および管理できます。 そのため、最初に作成するユーザーは任意のロールを持つことができます。
Cloud Manager グループに認証メカニズムを選択すると、Cloud Manager グループ内のすべての配置に対するアクセス制御が有効になります。
注意
推奨事項
不整合を避けるため、Cloud Manager インターフェースを使用して MongoDB 配置のユーザーとロールを管理します。
以下も参照してください。
アクセス制御メカニズム
SCRAM-SHA-1とSCRAM-SHA-256
MongoDB は、パスワードを使用してユーザーを認証するために、チャレンジ レスポンス メカニズムの次の実装をサポートしています。
次の表では、リリース シリーズのデフォルトの認証メカニズムは、および受け入れ可能な認証メカニズムは でマークされています。
MongoDB リリース シリーズ | |||
|---|---|---|---|
5.x.x | |||
4.4.x | |||
4.2.x |
Cloud Manager プロジェクトでSCRAM-SHA-1またはSCRAM-SHA-256を有効にするには、次のタスクを実行します。
LDAP
MongoDB Enterpriseはユーザーのプロキシ認証をサポートしています。 これにより、管理者は MongoDB クラスターを構成して、指定されたLDAPサービスに認証リクエストをプロキシすることで、ユーザーを認証できます。
Cloud Manager プロジェクトでLDAPを有効にするには、次のタスクを実行します。
OIDC
MongoDB Enterpriseでは OIDC を使用した認証が許可されています。 OIDC で認証するには の場合はまず、Microsoft Entra ID、Okta、Ping Identity などの OIDC 標準をサポートする IdP を使用して、 OIDC または OAuth アプリケーションを登録する必要があります。
Cloud Managerプロジェクトで OIDC を有効にするには、 OIDC/OAuth を使用して認証と認可を有効にします。2.0
Kerberos
MongoDB Enterpriseは Kerberos サービスを使用する認証をサポートしています。 Kerberos は IETF ( RFC4120 大規模なクライアント/サーバー システム向けの )標準認証プロトコルを使用します。
Kerberos と MongoDB を一緒に使用するには、適切に構成された Kerberos 配置、MongoDB 用のKerberos サービス プリンシパルを構成し、 Kerberos ユーザー プリンシパルを追加する必要があります。
Cloud Manager プロジェクトで Kerberos を有効にするには、次のタスクを実行します。
x.509
MongoDB は、安全なTLS 接続で使用されるための X.509 証明書認証をサポートしています。 X.509 クライアント認証では、クライアントはユーザー名とパスワードではなく、証明書を使用してサーバーに認証できます。
Cloud Manager プロジェクトで X.509 認証を有効にするには、次のタスクを実行します。
Cloud Manager が監視するプロセスのメンバーシップ認証に、X. 509証明書を使用することもできます。
ホスト認証情報の編集
You can configure the deployment to use the authentication mechanism from the Cloud Manager interface. 「 MongoDB ユーザーとロールの管理」では、各認証メカニズムを使用するように既存の配置を構成する方法について説明します。