Docs Menu
Docs Home
/
MongoDB Cloud Manager
/ / /

OIDC で Workforce IdP を設定する

項目一覧

  • 必要なアクセス権
  • 前提条件
  • 手順
  • 外部 ID プロバイダー アプリケーションを構成する
  • Workforce IdP 認証の構成
  • OIDC 認証の構成
  • Workforce IdP を使用したMongoDBへの接続
  • 既存のワークフォース IdP 構成を管理する
  • Revoke JWKS
  • 設定を編集
  • 構成の削除

MongoDB 7.0以降では、Workforce IdP を使用して、会社の IdPなどの外部 IdP(IdP)を使用して、従業員、パートナー、コンストラクターなどの特定のワークフォースを認証および認可します。

Workforce IdP を使用すると、次のことが可能になります。

  • 既存のIdPを介して、MongoDB 配置へのワークフォース アクセスを管理します。

  • パスワードの複雑さ、認証情報のローテーション、多要素認証などのセキュリティ ポリシーを IdP 内で強制します。

プロジェクトごとに作成できるワークフォース IdP は 1 つだけですが、構成をいつでも編集または再作成できます。

Workforce IdP を構成するには、 Cloud ManagerへのProject Owner アクセス権が必要です。

次のものが必要です。

  • mongosh 1.9.1 以降。

  • MongoDB 7.0以降。

  • MongoDB Agent で少なくとも 1 つの他の認証メカニズムが構成されています。

    注意

    MongoDB Agent は OIDC を介して配置に接続できません。MongoDB Agent に対して追加の認証メカニズムを有効にする必要があります。 Cloud Managerがモニタリングまたはバックアップを管理しない場合は、 代替の認証メカニズムを使用するようにそれらを手動で構成する必要があります。

Workforce IdP を使用してCloud Managerの配置にアクセスするには、次の手順を実行します。

  1. ワークフォース IdP(1 回限りの設定)を構成します。

    1. 外部 ID プロバイダーを構成します。

    2. Cloud Managerで ワークフォース IdP を構成します。

  2. 外部 ID(ユーザー プリンシパル)またはグループにアクセス権を付与します。

  3. Cloud Manager配置で認証します。

注意

プロジェクトの認証と TLS 設定をリセットする場合は、まず Cloud Manager がプロジェクト内で管理する MongoDB 配置の管理を解除します。

OIDC を使用して Workforce IdP を構成するには、 Microsoft Entra ID 、Okta、Ping Identity など、OIDC 標準をサポートする IdP を使用して OIDCアプリケーションを登録します。

OIDCアプリケーションは、次の付与タイプで構成できます。

  • PKCEを使用した認証コードフロー

  • デバイス認証フロー

MongoDB では、セキュリティを強化するために、Authorization Code Flow とPKCEを使用することを推奨しています。 ユーザーがブラウザを使用せずにマシンからデータベースにアクセスする必要がある場合にのみ、Device Authorization Flow を使用します。

OIDCアプリケーションの登録手順は、 IdPによって異なる場合があります。 登録プロセス中に次の項目を必ず完了してください。

OIDCアプリケーションの一般的な登録手順は次のとおりです。

1

クライアント タイプとして public client/native applicationを選択します。

2
3

グループの場合、この手順により、アクセス トークンにユーザー認証のグループ メンバーシップ情報が含まれていることを確認できます。 MongoDB は、認可のためにグループ クレームで送信された値を使用します。

4

(任意)MongoDB クライアントでトークンを更新してユーザー エクスペリエンスを向上させる場合は、更新トークンを許可します。

5

(任意)アクセス トークンの有効期間( expクレーム)をデータベース接続セッション時間と一致するように設定します。

アプリケーションを登録 したら、構成の次の段階で使用する issuerclientIdaudience の値を保存します。

OIDCアプリケーションを Microsoft Entra ID に登録するには、次の手順に従います。

1
  1. App registrationsに移動します。

    1. Azure portal で アカウント、検索、Microsoft Entra ID の順にクリックします。

    2. 左側のナビゲーションの Manage セクションで、App registrations をクリックします。

  2. [New registration] をクリックします。

  3. 次の値を適用します。

    フィールド

    Name

    Cloud Manager Database - Workforce

    Supported Account Types

    Accounts in this organizational directory only (single tenant)

    Redirect URI

    - Public client/native (mobile & desktop)
    - http://localhost:27097/redirect
  4. [Register] をクリックします。

アプリケーションの登録の詳細については、 Azure のドキュメントを参照してください。

2
  1. Token Configurationに移動します。

    左側のナビゲーションの Manage セクションで、Token Configuration をクリックします。

  2. [Add groups claim] をクリックします。

  3. Edit groups claimモーダルで、 Securityを選択します。

    選択するグループは、Azure 環境で構成したグループのタイプによって異なります。 適切なグループ情報を送信するには、別のタイプのグループを選択する必要がある場合があります。

  4. Customize token properties by typeセクションで、 Group IDのみを選択します。

  5. [Add] をクリックします。

グループ クレームを追加する方法の詳細については、 Azure ドキュメント を参照してください。

3
  1. [Add optional claim] をクリックします。

  2. Add optional claimモーダルで、 Accessを選択します。

  3. メールなど、MongoDB アクセス ログで参照できるユーザー識別子を含むクレームを選択します。

    UPNクレームを使用して、メール アドレスを持つユーザーを識別できます。

  4. [Add] をクリックします。

  5. Microsoft Graph Permissionsノートで、[] ボックスをオンにし、[ Addをクリックします。

詳しくは、 Azure のドキュメント を参照してください。

4
  1. 左側のナビゲーションの Manage セクションで、Manifest をクリックします。

  2. nullから2accessTokenAcceptedVersionを更新します。

    数字2は Microsoft のアクセス トークンのバージョン 2 を表します。 他のアプリケーションは、Active Directory が管理するユーザーの ID の署名された認証局としてこれを使用できます。 バージョン 2 では、トークンはJSON web token MongoDBが理解する であることが保証されます。

  3. [Save] をクリックします。

オプションのクレームを追加する方法の詳細については、 Azure のドキュメント を参照してください。

5
  1. 左側のナビゲーションで [ Overview ] をクリックします。

    Application (client) ID値をコピーします。

  2. 上部のナビゲーションで、 Endpointsをクリックします。

    /.well-known/openid-configuration部分を除いてOpenID Connect metadata document値をコピーします。

    この値は、 OpenID Connect metadata document URLissuerの値をコピーすることで取得することもできます。

次の表は、これらのMicrosoft Entra ID UIの値がMongoDB Atlas構成プロパティでどのようにマップされているかを示しています。

Microsoft Entra ID UI
MongoDB Atlas構成プロパティ

Application (client) ID

Client ID
Audience

OpenID Connect metadata document (without /.well-known/openid-configuration)

Issuer URI.

OIDC を使用して Workforce IdP を構成するには、次の手順を実行します。

注意

Workforce IdP は認証用にJSON web tokenのみをサポートしています。 不変のアクセス トークンはサポートされていません。

1
  1. Organizationsナビゲーション バーの [] メニューから、プロジェクトを含む組織を選択します。

  2. ナビゲーション バーのProjectsメニューからプロジェクトを選択します。

  3. サイドバーの Deployment をクリックします。

  4. [Security] タブをクリックします。

  5. [Settings] タブをクリックします。

  6. 次のいずれかのアクションを実行します。

    • このプロジェクトでTLS 、認証、または認可設定を初めて構成する場合は、 Get Startedをクリックします。

    • このプロジェクトのTLS認証または認可設定をすでに構成している場合は、[ Editをクリックします。

2
フィールド
アクション

MongoDB 配置トランスポート層セキュリティ (TLS)

このスライダーをONに切り替えます。

TLS CA ファイルパス

TLS認証局ファイルは、証明機関からのルート証明書チェーンを含む.pem形式の証明書ファイルです。 MongoDB Agent は、この同じ認証局ファイルを使用して、配置内のすべてのアイテムに接続します。

証明書ファイルの暗号化された秘密キーは、.pem PKCS #1 に含まれている必要があります。 形式。MongoDB Agent は PKCS #8 をサポートしていません。 形式。

MongoDB プロセスを実行しているすべてのホスト上のTLS認証局ファイルへのファイル パスを入力します。

  • 最初のボックスにすべての Linux ホスト上のファイルパスを入力します。

  • 2 番目のボックスにすべての Windows ホスト上のファイル パスを入力します。

これにより、プロジェクト内の MongoDB プロセスのnet.tls.CAFile設定が有効になります。

Validateをクリックして、指定したパスで配置内の各ホストにTLS認証局があることをテストします。

クラスター TLS CA ファイル パス

接続を確立するクライアントによって提示された証明書を検証するために使用される証明機関からのルート証明書チェーンを含む.pemファイル。 相対パスまたは絶対パスを使用して、 .pemファイルのファイル名を指定します。 net.tls.clusterCAFileにはnet.tls.CAFileが設定されている必要があります。

net.tls.clusterCAFileを指定しない場合、クラスターはnet.tls.CAFileオプションで指定された.pemファイルを使用します。

net.tls.clusterCAFile クライアントからサーバー、サーバーからクライアントへのTLS ハンドシェイクの各部分を検証するために、異なる認証局を使用することができます。

クライアント証明書モード

TLS 対応のMongoDB配置に接続するときにクライアントアプリケーションまたはMongoDBエージェントが TLS 証明書を提示する必要がある場合は、 を選択します。MongoDBデプロイでは、接続時にこれらのクライアントホストからの証明書がチェックされます。 クライアントTLS 証明書を要求する場合は、有効であることを確認します。

指定できる値は次のとおりです。

任意

すべてのクライアントは MongoDB 配置に接続するときに有効なTLS証明書を提示する場合があります。 を mongodtlsModeに設定 しない 場合、MongoDB エージェントは TLSNone 証明書を使用する可能性があります。

必須

このプロジェクト内のすべての MongoDB 配置は、 TLSで暗号化されたネットワーク接続から始まります。 MongoDB 配置に接続するには、すべてのエージェントがTLSを使用する必要があります。

3

MongoDB Deployment Authentication Mechanismセクションで、[Federated Auth (OIDC)] を選択します。

4
  1. OIDC Connection and Authorization (Required for OIDC)セクションで、 + OIDC IdP Configurationをクリックします。

  2. OIDC Protocol Settingsダイアログ ボックスでWorkforce Identity Federation [] を選択します。

5
設定
必要性

Configuration Name

必須

この構成を識別する一意のラベル。このラベルはCloud Managerユーザーに表示され、認可のユーザーとロールを作成するときに使用されます。大文字と小文字が区別され、次の文字のみを含めることができます。

  • 英数字(az09 の組み合わせ)

  • ハイフン(-

  • アンダースコア(_

構成を保存した後は、構成名を編集することはできません。

Issuer URI

必須

登録されたIdPアプリケーションによって提供される発行者値。 この URI を使用して、MongoDB は/.wellknown/open-id-configurationエンドポイントで利用可能なはずの OpenID プロバイダー構成ドキュメントを見つけます。

Client ID

必須

登録されたアプリケーションの一意の識別子です。 外部 IdP に登録したアプリのclientId値を入力します。

Audience

必須

外部 ID プロバイダーがトークンを発行するエンティティ。 外部 IdP に登録したアプリのaudience値を入力します。 一般的に、この値はClient IDと同じです。

Requested Scopes

任意

承認エンドポイントからデータをリクエストする権限をユーザーに付与するトークン。

追加する追加のスコープごとに、[ Add more scopes ] をクリックします。

authorizationType

必須

IdPユーザー グループ メンバーシップに基づいて認可を付与するにはGroup Membershipを選択し、個々のユーザーに認可を付与するにはUser IDを選択します。

Customize User Claim

必須

ユーザー プリンシパル ID を含む要求の識別子。 IdPが別の要求を使用しない限り、デフォルト値を受け入れます。

デフォルト: sub

Customize Group Claim

必須

認可タイプとして Group Membership を選択した場合は必須です。プリンシパルの IdP ユーザー グループ メンバーシップ情報を含む要求の識別子。IdP が別のクレームを使用している場合を除き、カスタム クレームが必要な場合を除き、デフォルト値を受け入れます。

デフォルト: groups

6

Cloud Managerは構成を保存し、OIDC Connection and Authorization (Required for OIDC) セクションに一覧表示します。

7
8
9

そうでない場合は、 Cancelをクリックすると、追加の変更を行うことができます。

MongoDBは OIDC のデータベースユーザーを明示的に作成しません。構成に基づいて、OIDC ユーザーをMongoDBロールにマッピングします。

OIDC認証の構成 時に選択した認可タイプに応じてタブを選択します。

Group Membership認可タイプを選択した場合は、次の手順を実行して、 IdP ユーザー グループ メンバーシップに基づいて認可を付与するカスタムロールを作成します。

1
  1. Organizationsナビゲーション バーの [] メニューから、プロジェクトを含む組織を選択します。

  2. ナビゲーション バーのProjectsメニューからプロジェクトを選択します。

  3. サイドバーの Deployment をクリックします。

  4. [Security] タブをクリックします。

  5. [MongoDB Roles] タブをクリックします。

2
3
  1. 次のフィールドを入力します。

    フィールド
    必要性
    説明

    Identifier

    必須

    Databaseボックスにadminと入力します。

    Nameボックスに、OIDC IdP 構成名と外部IdPのグループ名をスラッシュで区切って入力します:/

    {configuration_name}/{group_name}

    Inherits From

    任意

    ロール名とデータベースのペアのリスト。 これらのペアの形式はroleName@dbNameです。

    Authentication Restrictions

    任意

    IdPから制限する IP アドレスまたは CIDR 表記のリスト。

    Privilege Actions by Resource

    任意

    リソースに対して許可されるアクション。

    詳しくは、「特権アクション 」を参照してください。

  2. [Add Role] をクリックします。

User ID認可タイプを選択した場合は、新しいユーザーを作成して、個々のユーザーに認可を付与します。

1
  1. Organizationsナビゲーション バーの [] メニューから、プロジェクトを含む組織を選択します。

  2. ナビゲーション バーのProjectsメニューからプロジェクトを選択します。

  3. サイドバーの Deployment をクリックします。

  4. [Security] タブをクリックします。

  5. [MongoDB Users] タブをクリックします。

2
3

注意

ユーザーを追加する前に、ユーザーに割り当てるロールを作成していることを確認してください。

  1. ユーザーアカウントのフィールドを入力します。

    フィールド
    説明

    Identifier

    • 最初のフィールドに $externalデータベースを入力します。

    • 2 番目のフィールドに、OIDC IdP 構成名と構成のユーザー プリンシパル クレームをスラッシュで区切って使用してユーザー名を入力します。/

      {configuration_name}/{user_principal_claim}

    Roles

    使用可能なユーザー定義ロールと組み込みロールをこのボックスに入力します。 コンボボックス内で をクリックすると、既存のロールのリストが表示されます。

    Authentication Restrictions

    1. [Add Entry] をクリックします。

    2. ボックスまたは Client SourceServer Addressボックスのいずれかに 1 つ以上のIPアドレスや CIDR ブロックを追加します。複数のアドレスまたはブロックはカンマで区切ります。

      • Client Source は、このユーザーが認証を行い、指定されたロールを使用できるアドレスを制限します。

      • Server Address は、このユーザーが認証できるアドレスを制限し、指定されたロールを持つ必要があります。

    3. [Save] をクリックします。

    4. 別のエントリを追加するには、[ Add Entry ] をクリックします。

  2. [Add User] をクリックします。

4
5

そうでない場合は、 Cancelをクリックすると、追加の変更を行うことができます。

アプリケーションを Workforcemongosh IdP認証を使用してMongoDBに接続するには、 または Compass を使用します。

Workforce IdP の構成を管理するには、次のアクションを実行します。

注意

署名キーをローテーションするために、この機能を使用しないでください。 OIDC IdP署名キーをローテーションすると、MongoDB は既存のアクセス トークンの有効期限が切れると、JWKS を自動的に取得します。

秘密キーが侵害された場合は、MongoDB ノードにキャッシュされた JWKS(JSON Web Key Sets)をすぐに取り消すことができます。

1
  1. まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。

  3. Deployment ページがまだ表示されていない場合は、サイドバーの Deployment をクリックします。

    配置ページが表示されます。

2

配置の [ Security ] タブをクリックします。

[セキュリティ ]ページが表示されます。

3

[Settings] タブをクリックします。

4
  1. OIDC Connection and Authorization (Required for OIDC)セクションまでスクロールします。

  2. REVOKE JWKSボタンをクリックします。

    注意

    IdPが設定されていない場合、このボタンはアイドル状態になります。

  3. Revoke JWKS tokens?ダイアログボックスで、[ Revoke ] をクリックします。

Workforce IdP の設定を編集するには

1
  1. まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。

  3. Deployment ページがまだ表示されていない場合は、サイドバーの Deployment をクリックします。

    配置ページが表示されます。

2

配置の [ Security ] タブをクリックします。

[セキュリティ ]ページが表示されます。

3
  1. OIDC Connection and Authorization (Required for OIDC)セクションまでスクロールします。

  2. 編集する構成については、EDIT ボタンをクリックします。

  3. 構成を変更します。

4
5
6
7

そうでない場合は、 Cancelをクリックすると、追加の変更を行うことができます。

Workforce IdP 構成を削除するには、次の手順に従います。

1
  1. まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。

  3. Deployment ページがまだ表示されていない場合は、サイドバーの Deployment をクリックします。

    配置ページが表示されます。

2

配置の [ Security ] タブをクリックします。

[セキュリティ ]ページが表示されます。

3
  1. OIDC Connection and Authorization (Required for OIDC)セクションまでスクロールします。

  2. 削除する構成で、REMOVE ボタンをクリックします。

  3. Removing OIDC IdP configuration?ダイアログボックスで、[ Remove ] をクリックします。

戻る

OIDC の使用