Docs Menu
Docs Home
/
MongoDB Ops Manager
/
セキュリティ

MongoDB Ops ManagerSAML 認証 のMongoDB Ops Managerユーザーの設定

項目一覧

  • Considerations
  • 前提条件
  • 手順

セキュリティ アサーション マークアップ言語( SAML )サービスを実行する ID プロバイダー( IdP )を使用して、 のユーザー認証と認可を管理できます。MongoDB Ops Manager認証されたセッションなしでMongoDB Ops Managerに移動しようとすると、 MongoDB Ops ManagerはログインするIdPにユーザーを送信します。 認証が完了すると、MongoDB Ops Manager アプリケーションに戻ります。

このチュートリアルでは、次の方法について説明します。

  • MongoDB Ops Manager のSAML認証を構成する

  • SAMLグループをMongoDB Ops Manager 組織ロールプロジェクト ロールにマッピングします。

Considerations

SAML アクティブ化後もユーザーは認証され続けます

SAML認証を使用するように MongoDB Ops Manager インスタンスを変更すると、すべてのユーザーは現在のセッションにログインしたままになります。 認証の変更後、MongoDB Ops Manager にログインしようとするユーザーは、 SAML IdPにリダイレクトされます。

2 段階構成

SAMLインスタンスを設定すると循環ロジックが適用されます。 ワーキング統合を作成するには、次の手順に従います。

  • IdPにはサービスプロバイダーからの値が必要で、

  • サービス プロバイダーにはIdPからの値が必要です。

この統合を開始するには、前提条件に従って、次にこのチュートリアルの 手順 に従います。

前提条件

SAML統合を構成するには、 SAML IdPに対して次のアクションを実行する必要があります。

  1. SAML IdPをインストールします。

  2. MongoDB Ops Managerインスタンスがネットワーク経由でIdPにアクセスできることを確認します。

  3. SAML IdPでは、次の操作を行う必要があります。

    1. MongoDB Ops Manager グローバル オーナーにマッピングするSAMLユーザーを作成します。

    2. {2 にマッピングできる SAML グループを作成します。MongoDB Ops ManagerGlobal Owner

    3. Global Owner SAMLグループをSAMLユーザーに割り当てます。

    4. MongoDB Ops Managerを表すMongoDB Ops Manager Manager の新しいアプリケーションを作成します。

    5. この新しいアプリケーションに初期 MongoDB Ops Manager SAML値を設定します。

      1. 次のフィールドにプレースホルダー値を設定します。

        • SP Entity ID or Issuer

        • Audience URI

        • Assertion Consumer Service (ACS) URL

      2. IdP内の次のフィールドに実際の値を設定します。

        フィールド
        共通値
        Signature Algorithm

        IdPには、次の値が 1 つ以上ある場合があります。

        • rsa-sha1

        • dsa-sha1

        • rsa-sha256

        • rsa-sha384

        • rsa-sha512

        Name ID
        Email Address
        Name ID Format
        urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

      3. 次の属性値の 属性名 を使用して属性を作成します。

        • アドレス

        • ユーザー グループ

      4. 署名された SAML 応答とアサーションを要求するようにIdPを構成します。

      5. これらの値を保存します。

手順

SAML認証を構成するには次のようにします。

1

IdP にログインします。

2

Copy SAML IdP values.

IdPから、 MongoDB Ops Managerアプリケーションをクリックします。

  1. MongoDB Ops Managerメタデータの値を見つけます。

  2. 次の値を一時ファイルにコピーします。

    • SAML Login URL

    • SAML Logout URL

    • X.509 CertificateIdPの場合)

    • IdP Entity ID or Issuer

    • Signature Algorithm

3

User AuthenticationOps Manager Configページの タブに移動します。

MongoDB Ops Managerアプリケーションを開き、次のドキュメントに移動します: Admin General Ops Manager Config User Authentication

4

User AuthenticationオプションをSAML に設定します。

5

MongoDB Ops Managerで必要な SAML IdP 設定値を設定します。MongoDB Ops Manager

次の SAML フィールドに IdP からの値を入力します。

フィールド
必要性
アクション
default
ID プロバイダー URI
必須

シングル サインオンを調整するために使用する IdP の URI を入力します。

このURIは、 SAML IdPIdP Entity ID or Issuerです。

このURIは、SAML 応答のIssuer URIと同じである必要があります。

なし
SSO エンドポイント URL
必須

IdP の シングル サインオン URL を入力します。

このURLは、 IdPSAML Login URLです。

なし
SLO Endpoint URL
任意

URLMongoDB Ops Managerユーザーが MongoDB MongoDB Ops ManagerOps ManagerMongoDB Ops Manager からログアウトするときに、 が IdP からログアウトするようにするには、呼び出す SAML IdP を入力します。

これはIdPSAML Logout URLです。

なし
ID プロバイダーx509証明書
必須

このフィールドにIdPの X.509 証明書を貼り付けます。 IdPPEM形式で証明書を提供します。 -----BEGIN CERTIFICATE-----で始まり、 -----END CERTIFICATE-----で終わる証明書コンテンツ全体を必ず含めてください。 MongoDB Ops Manager はこの証明書を使用して、 IdPで自分自身を検証します。

これはIdPX.509 Certificateです。

これは、SAML 応答およびアサーションに署名するために使用するのと同じX.509 Certificateである必要があります。

なし
IdP 署名アルゴリズム
必須

IdPとの間で送受信される署名を暗号化するために使用されるアルゴリズムを選択します。 指定できる値は以下のとおりです。

  • rsa-sha1

  • dsa-sha1

  • rsa-sha256

  • rsa-sha384

  • rsa-sha512

これはIdPSignature Algorithmです。

なし
暗号化されたアサーションが必要
任意
IdPがMongoDB Ops Managerに送信するアサーションを暗号化するかどうかを選択します。
false
グローバル ロール オーナー グループ
必須

SAMLグループ メンバー属性に、すべてのグループへのフル アクセスとすべての管理権限を含む、この配置に対する完全な権限を持つグループの名前を入力します。 Global Ownerこのグループには、この インスタンスのMongoDB Ops Manager ロールがあります。

このグループを 前提条件 の一部としてIdP設定に追加しました。

この値は、 SAML応答で送信されたグループ ノードの属性値と一致する必要があります。 Azure ADIdPとして使用する場合は、グループ名の代わりにグループのオブジェクト ID をこのフィールドに入力します。

なし
ユーザー名のSAML属性
必須
ユーザーの名を含むSAML属性の名前を入力します
なし
ユーザーの姓のSAML属性
必須
ユーザーの姓を含むSAML属性の名前を入力する
なし
ユーザー メールのSAML属性
必須
ユーザーのメールアドレスを含むSAML属性の名前を入力します。
なし
SAMLグループ ノードの属性
必須
MongoDB Ops Manager がロールをプロジェクトおよび組織にマッピングするために使用するグループのリストを含むSAML属性の名前を入力します。
groups
6

必要なオプションの SAML IdP 設定をMongoDB OpsMongoDB Ops Manager Managerに追加します。

次の SAML フィールドに IdP からの値を入力します。

フィールド
必要性
アクション
default
SP 証明書 PEM キー ファイルへのパス
任意

サービス プロバイダーがリクエストに署名するために使用するPEM形式の証明書への絶対ファイル パスを入力します。 この証明書には、秘密キーと公開キーが含まれます。

このフィールドを空白のままにすると、次のようになります。

  • MongoDB Ops Manager は IdP への SAML 認証リクエストに署名しません。

  • SAMLアサーションを暗号化することはできません。

なし
SP 証明書 PEM キー ファイルのパスワード
条件付き
SP PEMファイル内の秘密キーを暗号化した場合は、このフィールドにそのパスワードを入力します。
なし
グローバル オートメーション管理者ロール
任意

Global Automation Adminロールを持つメンバーを入力します。

この値は、 SAML応答で送信されたグループ ノードの属性値と一致する必要があります。 Azure ADIdPとして使用する場合は、グループ名の代わりにグループのオブジェクト ID をこのフィールドに入力します。

なし
グローバルバックアップ管理者ロール
任意

Global Backup Adminロールを持つメンバーを入力します。

この値は、 SAML応答で送信されたグループ ノードの属性値と一致する必要があります。 Azure ADIdPとして使用する場合は、グループ名の代わりにグループのオブジェクト ID をこのフィールドに入力します。

なし
グローバル モニタリング管理者ロール
任意

Global Monitoring Adminロールを持つメンバーを入力します。

この値は、 SAML応答で送信されたグループ ノードの属性値と一致する必要があります。 Azure ADIdPとして使用する場合は、グループ名の代わりにグループのオブジェクト ID をこのフィールドに入力します。

なし
グローバル ユーザー管理者ロール
任意

Global User Adminロールを持つメンバーを入力します。

この値は、 SAML応答で送信されたグループ ノードの属性値と一致する必要があります。 Azure ADIdPとして使用する場合は、グループ名の代わりにグループのオブジェクト ID をこのフィールドに入力します。

なし
グローバル読み取り専用ロール
任意

Global Read Onlyロールを持つメンバーを入力します。

この値は、 SAML応答で送信されたグループ ノードの属性値と一致する必要があります。 Azure ADIdPとして使用する場合は、グループ名の代わりにグループのオブジェクト ID をこのフィールドに入力します。

なし
7

をクリックします。<a class=\" \" href=\" \" title=\" \"><svg xmlns=\" \" width=\" \" height=\" \" fill=\" \" viewbox=\" \" class=\" \" role=\" \" aria-label=\" \"><path fill=\" \" d=\" \"> <path fill=\" \" d=\" \">Save

8

グローバル所有者としてログインします。

MongoDB Ops Manager SAML Global Role Owner フィールドで指定された SAML グループのメンバーであるユーザーとしてMongoDB Ops Managerにログインします。

ログインが成功すると、MongoDB Ops Manager にプロジェクト ページが表示されます。

9

SAML グループをプロジェクト ロールに関連付けます。

新しいプロジェクトで、SAML グループをロールに関連付けるには、次の手順に従います。

注意

新しいプロジェクトを作成するには、任意のグローバル ロールが必要です。

  1. [ Admin > [ General > [ Projects ] をクリックします。

  2. [Create a New Project] をクリックします。

  3. Project Name に、新しいMongoDB Ops Managerプロジェクトの名前を入力します。

  4. プロジェクト ロールに対応する SAML グループを入力します。

    重要

    各グループに対して、完全修飾識別名を使用する必要があります。 複数の LDAP または SAML グループが同じロールに対応する場合は、2 つのセミコロンで区切ります( ;; )。 ロールの フィールドからグループを削除して、そのロールに対するグループのアクセスを取り消します。

  5. [Add Project] をクリックします。

既存のプロジェクトで、SAML グループとロールの関連付けを更新するには次のようにします。

  1. [ Admin > [ General > [ Projects ] をクリックします。

  2. プロジェクトのActions列で、次をクリックします[] をクリックし、[ Edit SAML Settings ] をクリックします。

  3. プロジェクト ロールに対応する SAML グループを入力します。

    重要

    各グループに対して、完全修飾識別名を使用する必要があります。 複数の LDAP または SAML グループが同じロールに対応する場合は、2 つのセミコロンで区切ります( ;; )。 ロールの フィールドからグループを削除して、そのロールに対するグループのアクセスを取り消します。

  4. [Save Changes] をクリックします。

10

任意: LDAP グループを組織ロールに関連付けます。

SAML グループを新しい組織のロールに関連付けるには、次の手順に従います。

注意

新しい組織を作成するには、任意のグローバル ロールが必要です。

  1. [ Admin > [ General > [ Organizations ] をクリックします。

  2. [Create a New Organization] をクリックします。

  3. Organization Name に新しいMongoDB Ops Manager組織の名前を入力します。

  4. 組織ロールに対応する SAML グループを入力します。

    重要

    各グループに対して、完全修飾識別名を使用する必要があります。 複数の LDAP または SAML グループが同じロールに対応する場合は、2 つのセミコロンで区切ります( ;; )。 ロールの フィールドからグループを削除して、そのロールに対するグループのアクセスを取り消します。

  5. [Add Organization] をクリックします。

既存の組織の、ロールと SAML グループの関連付けを更新するには:

  1. [ Admin > [ General > [ Organizations ] をクリックします。

  2. Edit Orgボタンをクリックします。

  3. 組織ロールに対応する SAML グループを入力します。

    重要

    各グループに対して、完全修飾識別名を使用する必要があります。 複数の LDAP または SAML グループが同じロールに対応する場合は、2 つのセミコロンで区切ります( ;; )。 ロールの フィールドからグループを削除して、そのロールに対するグループのアクセスを取り消します。

  4. [Save Changes] をクリックします。

11

MongoDB 配置を追加します。

MongoDB 配置を追加するときに SAML 認証設定を指定します。

12

MongoDB Ops Managerメタデータをエクスポートします。

SAML構成を保存すると、 Download the Metadata XML Fileへのリンクが表示されます。

このリンクをクリックして、 SAML SP メタデータ XML ファイルをダウンロードします。

このメタデータ ファイルは次の例のようになります。

1<?xml version="1.0"?>
2<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" validUntil="2019-09-13T20:36:00Z" cacheDuration="PT604800S" entityID="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080" ID="ONELOGIN_f95ad815-e8da-4ab3-a799-3c581484cd6a">
3  <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
4    <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080/saml/logout"/>
5    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
6    <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080/saml/assert" index="1"/>
7  </md:SPSSODescriptor>
8</md:EntityDescriptor>
13

SAML SP メタデータを IdP にインポートします。

IdPで オプションが提供される場合は、メタデータをIdPにインポートします。 MongoDB Ops Managerは、 IdPのサービスプロバイダー(SP)として機能します。

IdP へのメタデータ XML ファイルで次の値を指定します。

フィールド
共通値
SP Entity ID or Issuer
<OpsManagerHost>:<Port>
Audience URI
<OpsManagerHost>:<Port>
Assertion Consumer Service (ACS) URL
<OpsManagerHost>:<Port>/saml/assert
Single Logout URL
<OpsManagerHost>:<Port>/saml/logout

これらの値の 1 つ以上が欠落している場合は、前の表に記載されているガイドラインを使用してそれらの値を設定します。

これらの値をIdPに保存します。

14

MongoDB Ops MongoDB Ops ManagerManagerと IdP の間の SAML 統合をテストします。

  1. プライベート ブラウザ ウィンドウで、 インスタンスにGo MongoDB Ops Managerします。

    IdPにリダイレクトされます。

  2. IdPで認証します。

    次に、 MongoDB Ops Managerインスタンスにリダイレクトされます。

戻る

MongoDB Ops Manager ユーザーの LDAP の構成

次へ

認証による安全な MongoDB デプロイ