ユーザーの認可
Workload Identity Federation を使用して、 MongoDBにデータベースユーザーを追加できます。このアプローチにより、組織のIdPはユーザーのアクセスを管理し、データベース操作の安全で一元化された認証を確保できます。
始める前に
注意
oidcIdentityProviders
{2 の構成によって、ユーザーを認可するために必要なアプローチが決まります。
内部認可を有効にするために
useAuthorizationClaim
フィールドをfalse
に設定している場合は、 ユーザー ID を持つユーザーを承認します。フィールドが
true
に設定されている場合は、 IdPグループを持つユーザーを承認します。
手順
MongoDB ロールの作成
admin
データベースで、 db.createRole()
メソッドを使用して、IdP グループ ロールを MongoDB ロールにマッピングするロールを作成します。
ロールを作成するには、次の形式を使用します。
<authNamePrefix>/<authorizationClaim>
oidcIdentityProviders
パラメータはauthNamePrefix
フィールドとauthorizationClaim
フィールドを提供します。 例:
db.createRole( { role: "okta/Everyone", privileges: [ ], roles: [ "readWriteAnyDatabase" ] } )
ユーザーを作成する
ユーザーを作成し、 MongoDBデータベースに追加するには、db.createUser()
コマンドを使用します。
フィールドには次の形式を使用します。user
authNamePrefix
とauthorizationClaim
の値はoidcIdentityProviders
パラメータから取得されます。
<authNamePrefix>/<authorizationClaim>
MongoDBで、okta
の authNamePrefix
と jane.doe
の authorizationClaim
を持つユーザーを作成するには、次のコマンドを実行します。
db.createUser( { user: "okta/jane.doe", roles: [ { role: "readWriteAnyDatabase", db: "admin" } ] } )
次のステップ
Workload Identity Federation を使用して、次のサポートされているドライバーを使用して、アプリケーションをMongoDBに接続できます。