LDAP の非推奨化
項目一覧
MongoDB 8.0以降、 LDAP認証と認可は非推奨です。 LDAP は使用可能であり、 MongoDB 8のサポート期間中に変更されずに動作し続けます。 LDAP は将来のメジャー リリースで削除される予定です。
LDAP から代替の認証方法に移行することを計画する必要があります。
将来的に、完全な LDAP移行情報が利用可能になる予定です。
詳細
次のセクションでは、自己管理型MongoDB Enterprise Advanced、 MongoDB Atlas、 MongoDB Atlas for Government の代替の認証方法を紹介します。
自己管理型MongoDB Enterprise Advanced
人間のユーザー アクセスの場合、 MongoDBでは LDAP から Workforce IdP(OIDC認証)に移行することを推奨しています。 Workforce IdP では、 Microsoft Active Directory Federation Services(ADFS)、 Microsoft Entra ID 、Okta、Ping Identity など、OIDC をサポートする任意のIdPを使用して、自己管理型MongoDBデータベースにシングル サインオン(SSO)アクセスが許可されます。
プログラム ユーザーの場合、 MongoDBは LDAP から Workload Identity Federation に移行することを推奨します。 Workload Identity Federation を使用すると、アプリケーションは認可サービスによって提供される OAuth 2.0 アクセス トークンを持つデータベースを使用できます。
また、 Microsoft Azure Managed Identity やGoogle Cloud Platform (GCP )サービス アカウントなどのクラウドプロバイダーのプリンシパルを使用することもできます。 MongoDB Identity Federation を使用できない場合は、x を使用することを推奨します。 509 証明書認証。
MongoDBサーバーを使用して Workforce IdP(OIDC認証)を構成するには、「 Workforce IdP を使用してMongoDBを構成する 」を参照してください。
MongoDBサーバーを使用して Workload Identity Federation(OAuth )を構成するには、「2.0 Workload Identity Federation を使用してMongoDBを構成する 」を参照してください。
MongoDB Cloud Managerを使用してワークフォースとワークロード IdP を構成するには、「 Cloud Cloud Managerを使用して認証と認可を有効にする 」を参照してください。
MongoDB Ops Manager を使用してワークフォースとワークロード IdPMongoDB Ops Manager を構成するには、「 MongoDB Ops Managerを使用して認証と認可を有効にするMongoDB Ops Manager 」を参照してください。
自己管理型MongoDBデプロイで LDAP と比較した Workforce と Workload Identity Federation の利点の一部は次のとおりです。
MongoDBに認証情報が保存されていない : LDAP バインド ユーザー認証情報はMongoDBに保存されています。Workforce または Workload Identity Federation を使用すると、 MongoDBはユーザー ディレクトリへのアクセスを許可する認証情報や秘密を保存しません。
クロスアプリケーションのリスクを軽減: LDAP LDAP接続では、ユーザーのLDAP MongoDBstringLDAP 認証情報が接続文字列内でMongoDBに送信されるため、クロスアプリケーション アクセスのリスクが生じます。ただし、Workforce と Workload Identity Federation を使用すると、 MongoDBはシークレットを受け取ることはありません。 OIDC と OAuth 2.0 では、オーディエンス クレームを使用して特定のリソースへのアクセス トークンが付与されます。トークンが侵害された場合、そのトークンを他のアプリケーションにアクセスするために使用することはできません。
アクセス トークンによるセキュリティの向上: IdP はタームアクセス トークンによるアクセスを許可するため、LDAP と比較してセキュリティが向上します。アクセス トークンの有効期間は通常 1 時間です。 期間は通常、 IdPに基づいてカスタマイズできます。
アプリケーションユーザーのパスワードなしの認証: アプリケーションがクラウドで実行中されている場合、ワークロード Identity Federation は特定のクラウドリソース で実行中されているアプリケーションに対してパスワードなしの認証をサポートします。これにより、認証情報を定期的に更新する必要がなくなります。
MongoDB Atlasと Atlas for Government
人間のユーザー アクセスの場合、 MongoDBでは LDAP から Workforce IdP(OIDC認証)に移行することを推奨しています。 Workforce IdP では、 Microsoft Entra ID 、Okta、Ping Identity など、OIDC をサポートする任意のIdPを使用して Atlas クラスターにシングル サインオン(SSO)アクセスが許可されます。
プログラムによるユーザーの場合、 MongoDBは LDAP からAmazon AWS- IAM認証または Workload Identity Federation への移行を推奨しています。 アプリケーションがAmazon Web Servicesリソースで実行中されている場合は、 Amazon Web Services -IAM認証を使用して、Amazon Web ServicesAmazon Web ServicesMongoDB Atlas Amazon Web ServicesAmazon Web Services - IAM ロールを持つMongoDB Atlasクラスターにアクセスできます。
アプリケーションがMicrosoft AzureまたはGoogle Cloud Platformシステムで実行中されている場合は、ワークロード Identity Federation を使用して、 Microsoft Azure Managed Identity またはGoogle Cloud Platformサービス アカウントの Atlas クラスターにアクセスできます。 AWS-IAM または Workload Identity Federation を使用できない場合、 MongoDBでは x を使用することをお勧めします。 509 証明書認証。
ワークフォースとワークロード Identity Federation を使い始めるには、「 Atlas の OIDC/OAuth による認証と認可 」を参照してください。2.0
AWS-IAM認証を開始するには、「 AWS-IAM による認証の設定 」を参照してください。
Atlas の LDAP と比較した場合の Workforce と Workload Identity Federation の利点の一部は次のとおりです。
ネットワーク セキュリティの向上: LDAP には公開される完全修飾ドメイン名(FQDN)が必要になるため、ファイアウォールの脆弱性が生じます。 Workforce IdP では、インターネットに接続された IdP(IdP)を使用し、ユーザーディレクトリの一部を IdP に同期して、Workforce IdP によるセキュリティを向上させることができます。
認証情報の処理の改善: LDAP とは異なり、Workforce または Workload Identity Federation を使用する場合、ユーザー認証情報がMongoDBに送信されたり保存されたりすることはありません。
人間のユーザーの最新の認証ポリシー: Workforce IdP は IdP認証を許可しており、最新の認証ポリシーを使用できます。
簡単な構成: LDAP ユーザーは Atlas の複雑なネットワーク構成を必要とします。 IdP の構成はより簡素化されています。
アクセス トークンによるセキュリティの向上: Workforce および Workload Identity Federation とAWS- IAM認証では、タームのアクセス トークンによるアクセスが許可されるため、LDAP と比較してセキュリティが向上します。アクセス トークンの有効期間は通常 1 時間です。 期間は通常、 IdPに基づいてカスタマイズできます。
アプリケーションユーザーのパスワードなしの認証: Workload Identity Federation は、特定のクラウドリソース で実行中されているアプリケーションのパスワードなしの認証をサポートしています。これにより、認証情報を定期的に更新する必要がなくなります。
コスト効率: Atlas Developer および Pro サポートの場合、LDAP は 高度なセキュリティパッケージの一部として料金を請求します。 ワークフォースとワークロード IdP には追加料金はありません。 価格については、以下を参照してください。