Docs Menu
Docs Home
/
MongoDBマニュアル
/
自己管理型配置
/
セキュリティ
/
認証
/
OIDC/OAuth 2.0
/
ワークロード(アプリケーション)

外部 ID プロバイダーを構成する

項目一覧

  • このタスクについて
  • 始める前に
  • 手順

OAuth 2.0 を使用して Workload Identity Federation を構成するには、 Microsoft AzureやGoogle Cloud Platform (GCP )などの外部IdPに OAuth 2.0アプリケーションを登録します。これにより、安全な認証が可能になり、ユーザー管理が効率化されます。

このタスクについて

Workload Identity Federation は OAuth 2.0 アクセス トークンを使用します。これらのトークンは、任意の外部IdPが発行できます。

次の手順では、 Microsoft Azure Entra IDとGoogle Cloud PlatformをMongoDBの外部 ID プロバイダーとして構成します。

始める前に

  • Microsoft AzureをIdPとして使用するには、 Microsoft Azureアカウントが必要です。

  • Google Cloud をIdPとして使用するには、Google Cloud アカウントが必要です。

手順

Azure Managed Identity またはAzure Service Principals を使用して自己管理型MongoDBインスタンスにアクセスするには、 Azure Entra IDアプリケーションを登録する必要があります。 ワークフォース(人間のユーザー)アクセス用の既存のアプリケーション登録がある場合は、ワークロード アクセス用に別のアプリケーションを登録することをお勧めします。

1

アプリケーションを登録する

  1. App registrationsに移動します。

    1. Azure portal で アカウント、検索、Microsoft Entra ID の順にクリックします。

    2. 左側のナビゲーションの Manage セクションで、App registrations をクリックします。

  2. [New registration] をクリックします。

  3. 次の値を適用します。

    フィールド
    Name
    MongoDB - Workload
    Supported Account Types
    Accounts in this organizational directory only (single tenant)
    Redirect URI
    Web
2

(任意)グループ クレームを追加する

アプリケーションアクセスの場合、自己管理型MongoDB配置でアクセス権を定義する際に、サービス プリンシパル識別子をMongoDBユーザー識別子として使用することをお勧めします。この一般的なアプローチを使用する場合は、このステップをスキップしてください。ただし、代わりにAzure AD セキュリティ グループ識別子などのグループ識別子を使用する場合は、次の手順でアプリケーション登録でグループ クレームを設定できます。

  1. Token Configurationに移動します。

    左側のナビゲーションの Manage セクションで、Token Configuration をクリックします。

  2. [Add groups claim] をクリックします。

  3. Edit groups claimモーダルで、 Securityを選択します。

    選択するグループは、Azure 環境で構成したグループのタイプによって異なります。 適切なグループ情報を送信するには、別のタイプのグループを選択する必要がある場合があります。

  4. Customize token properties by typeセクションで、 Group IDのみを選択していることを確認します。

    Group IDを選択すると、Azure はセキュリティ グループのオブジェクト ID を送信します。

  5. [Add] をクリックします。

    グループ クレームを追加する方法の詳細については、 Azure ドキュメント を参照してください。

3

アプリケーションID URI の有効化

  1. 左側のサイドバーでExpose an APIに移動し、アプリケーション ID URI を有効にします。

  2. アプリケーション ID URI を有効にします。

    Azureによって割り当てられたデフォルトのアプリケーションID URI を保持します。これは <application_client_id> です。この値をコピーして保存します。自己管理型MongoDB配置とすべてのMongoDBドライバーでは、ワークロード IdP の構成にこの値が必要です。

4

マニフェストを更新する

  1. 左側のナビゲーションの Manage セクションで、Manifest をクリックします。

  2. nullから2accessTokenAcceptedVersionを更新します。

    数字 2 は、Microsoft のアクセス トークンのバージョン 2 を表します。他のアプリケーションは、Active Directory が管理するユーザーの ID の証明としてこれを使用できます。バージョン 2 の場合、トークンはMongoDBが理解するJSON Web Token であることが保証されます。

  3. [Save] をクリックします。

オプションのクレームを追加する方法の詳細については、 Azure のドキュメント を参照してください。

5

メタデータを記憶する

  1. 左側のナビゲーションで [ Overview ] をクリックします。

  2. 上部のナビゲーションで、 Endpointsをクリックします。

    /.well-known/openid-configuration を除くOpenID Connect metadata document 値をコピーします。

    この値は、OpenID Connect metadata document URLをクリックし、issuer の値をコピーして取得することもできます。

次の表は、これらのMicrosoft Entra ID UIの値がMongoDBoidcIdentityProviders パラメーターにマップされる内容を示しています。

Microsoft Entra ID UI
MongoDB oidcIdentityProviders パラメーター フィールド
OpenID Connect metadata document (without /.well-known/openid-configuration)
issuer
Application ID URI
audience

Google Cloud サービス アカウントの設定を変更する必要はありません。

戻る

ワークロード(アプリケーション)

次へ

Workload Identity Federation でMongoDBを構成する