Docs Menu
Docs Home
/
MongoDB Ops Manager
/

MongoDB Ops ManagerSAML 認証 のMongoDB Ops Managerユーザーの設定

項目一覧

  • Considerations
  • 前提条件
  • 手順

セキュリティ アサーション マークアップ言語( SAML )サービスを実行する ID プロバイダー( IdP )を使用して、 のユーザー認証と認可を管理できます。MongoDB Ops Manager認証されたセッションなしでMongoDB Ops Managerに移動しようとすると、 MongoDB Ops ManagerはログインするIdPにユーザーを送信します。 認証が完了すると、MongoDB Ops Manager アプリケーションに戻ります。

このチュートリアルでは、次の方法について説明します。

  • MongoDB Ops Manager のSAML認証を構成する

  • SAMLグループをMongoDB Ops Manager 組織ロールプロジェクト ロールにマッピングします。

SAML認証を使用するように MongoDB Ops Manager インスタンスを変更すると、すべてのユーザーは現在のセッションにログインしたままになります。 認証の変更後、MongoDB Ops Manager にログインしようとするユーザーは、 SAML IdPにリダイレクトされます。

SAMLインスタンスを設定すると循環ロジックが適用されます。 ワーキング統合を作成するには、次の手順に従います。

  • IdPにはサービスプロバイダーからの値が必要で、

  • サービス プロバイダーにはIdPからの値が必要です。

この統合を開始するには、前提条件に従って、次にこのチュートリアルの 手順 に従います。

SAML統合を構成するには、 SAML IdPに対して次のアクションを実行する必要があります。

  1. SAML IdPをインストールします。

  2. MongoDB Ops Managerインスタンスがネットワーク経由でIdPにアクセスできることを確認します。

  3. SAML IdPでは、次の操作を行う必要があります。

    1. MongoDB Ops Manager グローバル オーナーにマッピングするSAMLユーザーを作成します。

    2. {2 にマッピングできる SAML グループを作成します。MongoDB Ops ManagerGlobal Owner

    3. Global Owner SAMLグループをSAMLユーザーに割り当てます。

    4. MongoDB Ops Managerを表すMongoDB Ops Manager Manager の新しいアプリケーションを作成します。

    5. この新しいアプリケーションに初期 MongoDB Ops Manager SAML値を設定します。

      1. 次のフィールドにプレースホルダー値を設定します。

        • SP Entity ID or Issuer

        • Audience URI

        • Assertion Consumer Service (ACS) URL

      2. IdP内の次のフィールドに実際の値を設定します。

        フィールド
        共通値

        Signature Algorithm

        IdPには、次の値が 1 つ以上ある場合があります。

        • rsa-sha1

        • dsa-sha1

        • rsa-sha256

        • rsa-sha384

        • rsa-sha512

        Name ID

        Email Address

        Name ID Format

        urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

      3. 次の属性値の 属性名 を使用して属性を作成します。

        • アドレス

        • ユーザー グループ

      4. 署名された SAML 応答とアサーションを要求するようにIdPを構成します。

      5. これらの値を保存します。

SAML認証を構成するには次のようにします。

1
2

IdPから、 MongoDB Ops Managerアプリケーションをクリックします。

  1. MongoDB Ops Managerメタデータの値を見つけます。

  2. 次の値を一時ファイルにコピーします。

    • SAML Login URL

    • SAML Logout URL

    • X.509 CertificateIdPの場合)

    • IdP Entity ID or Issuer

    • Signature Algorithm

3

MongoDB Ops Managerアプリケーションを開き、次のドキュメントに移動します: Admin General Ops Manager Config User Authentication

4
5

次の SAML フィールドに IdP からの値を入力します。

フィールド
必要性
アクション
default

ID プロバイダー URI

必須

シングル サインオンを調整するために使用する IdP の URI を入力します。

このURIは、 SAML IdPIdP Entity ID or Issuerです。

このURIは、SAML 応答のIssuer URIと同じである必要があります。

なし

SSO エンドポイント URL

必須

IdP の シングル サインオン URL を入力します。

このURLは、 IdPSAML Login URLです。

なし

SLO Endpoint URL

任意

URLMongoDB Ops Managerユーザーが MongoDB MongoDB Ops ManagerOps ManagerMongoDB Ops Manager からログアウトするときに、 が IdP からログアウトするようにするには、呼び出す SAML IdP を入力します。

これはIdPSAML Logout URLです。

なし

ID プロバイダーx509証明書

必須

このフィールドにIdPの X.509 証明書を貼り付けます。 IdPPEM形式で証明書を提供します。 -----BEGIN CERTIFICATE-----で始まり、 -----END CERTIFICATE-----で終わる証明書コンテンツ全体を必ず含めてください。 MongoDB Ops Manager はこの証明書を使用して、 IdPで自分自身を検証します。

これはIdPX.509 Certificateです。

これは、SAML 応答およびアサーションに署名するために使用するのと同じX.509 Certificateである必要があります。

なし

IdP 署名アルゴリズム

必須

IdPとの間で送受信される署名を暗号化するために使用されるアルゴリズムを選択します。 指定できる値は以下のとおりです。

  • rsa-sha1

  • dsa-sha1

  • rsa-sha256

  • rsa-sha384

  • rsa-sha512

これはIdPSignature Algorithmです。

なし

暗号化されたアサーションが必要

任意

IdPがMongoDB Ops Managerに送信するアサーションを暗号化するかどうかを選択します。

false

グローバル ロール オーナー グループ

必須

SAMLグループ メンバー属性に、すべてのグループへのフル アクセスとすべての管理権限を含む、この配置に対する完全な権限を持つグループの名前を入力します。 Global Ownerこのグループには、この インスタンスのMongoDB Ops Manager ロールがあります。

このグループを 前提条件 の一部としてIdP設定に追加しました。

この値は、 SAML応答で送信されたグループ ノードの属性値と一致する必要があります。 Azure ADIdPとして使用する場合は、グループ名の代わりにグループのオブジェクト ID をこのフィールドに入力します。

なし

ユーザー名のSAML属性

必須

ユーザーの名を含むSAML属性の名前を入力します

なし

ユーザーの姓のSAML属性

必須

ユーザーの姓を含むSAML属性の名前を入力する

なし

ユーザー メールのSAML属性

必須

ユーザーのメールアドレスを含むSAML属性の名前を入力します。

なし

SAMLグループ ノードの属性

必須

MongoDB Ops Manager がロールをプロジェクトおよび組織にマッピングするために使用するグループのリストを含むSAML属性の名前を入力します。

groups

6

次の SAML フィールドに IdP からの値を入力します。

フィールド
必要性
アクション
default

SP 証明書 PEM キー ファイルへのパス

任意

サービス プロバイダーがリクエストに署名するために使用するPEM形式の証明書への絶対ファイル パスを入力します。 この証明書には、秘密キーと公開キーが含まれます。

このフィールドを空白のままにすると、次のようになります。

  • MongoDB Ops Manager は IdP への SAML 認証リクエストに署名しません。

  • SAMLアサーションを暗号化することはできません。

なし

SP 証明書 PEM キー ファイルのパスワード

条件付き

SP PEMファイル内の秘密キーを暗号化した場合は、このフィールドにそのパスワードを入力します。

なし

グローバル オートメーション管理者ロール

任意

Global Automation Adminロールを持つメンバーを入力します。

この値は、 SAML応答で送信されたグループ ノードの属性値と一致する必要があります。 Azure ADIdPとして使用する場合は、グループ名の代わりにグループのオブジェクト ID をこのフィールドに入力します。

なし

グローバルバックアップ管理者ロール

任意

Global Backup Adminロールを持つメンバーを入力します。

この値は、 SAML応答で送信されたグループ ノードの属性値と一致する必要があります。 Azure ADIdPとして使用する場合は、グループ名の代わりにグループのオブジェクト ID をこのフィールドに入力します。

なし

グローバル モニタリング管理者ロール

任意

Global Monitoring Adminロールを持つメンバーを入力します。

この値は、 SAML応答で送信されたグループ ノードの属性値と一致する必要があります。 Azure ADIdPとして使用する場合は、グループ名の代わりにグループのオブジェクト ID をこのフィールドに入力します。

なし

グローバル ユーザー管理者ロール

任意

Global User Adminロールを持つメンバーを入力します。

この値は、 SAML応答で送信されたグループ ノードの属性値と一致する必要があります。 Azure ADIdPとして使用する場合は、グループ名の代わりにグループのオブジェクト ID をこのフィールドに入力します。

なし

グローバル読み取り専用ロール

任意

Global Read Onlyロールを持つメンバーを入力します。

この値は、 SAML応答で送信されたグループ ノードの属性値と一致する必要があります。 Azure ADIdPとして使用する場合は、グループ名の代わりにグループのオブジェクト ID をこのフィールドに入力します。

なし

7
8

MongoDB Ops Manager SAML Global Role Owner フィールドで指定された SAML グループのメンバーであるユーザーとしてMongoDB Ops Managerにログインします。

ログインが成功すると、MongoDB Ops Manager にプロジェクト ページが表示されます。

9

注意

新しいプロジェクトを作成するには、任意のグローバル ロールが必要です。

  1. [ Admin > [ General > [ Projects ] をクリックします。

  2. [Create a New Project] をクリックします。

  3. Project Name に、新しいMongoDB Ops Managerプロジェクトの名前を入力します。

  4. プロジェクト ロールに対応する SAML グループを入力します。

    重要

    各グループに対して、完全修飾識別名を使用する必要があります。 複数の LDAP または SAML グループが同じロールに対応する場合は、2 つのセミコロンで区切ります( ;; )。 ロールの フィールドからグループを削除して、そのロールに対するグループのアクセスを取り消します。

  5. [Add Project] をクリックします。

  1. [ Admin > [ General > [ Projects ] をクリックします。

  2. プロジェクトのActions列で、次をクリックします[] をクリックし、[ Edit SAML Settings ] をクリックします。

  3. プロジェクト ロールに対応する SAML グループを入力します。

    重要

    各グループに対して、完全修飾識別名を使用する必要があります。 複数の LDAP または SAML グループが同じロールに対応する場合は、2 つのセミコロンで区切ります( ;; )。 ロールの フィールドからグループを削除して、そのロールに対するグループのアクセスを取り消します。

  4. [Save Changes] をクリックします。

10

注意

新しい組織を作成するには、任意のグローバル ロールが必要です。

  1. [ Admin > [ General > [ Organizations ] をクリックします。

  2. [Create a New Organization] をクリックします。

  3. Organization Name に新しいMongoDB Ops Manager組織の名前を入力します。

  4. 組織ロールに対応する SAML グループを入力します。

    重要

    各グループに対して、完全修飾識別名を使用する必要があります。 複数の LDAP または SAML グループが同じロールに対応する場合は、2 つのセミコロンで区切ります( ;; )。 ロールの フィールドからグループを削除して、そのロールに対するグループのアクセスを取り消します。

  5. [Add Organization] をクリックします。

  1. [ Admin > [ General > [ Organizations ] をクリックします。

  2. Edit Orgボタンをクリックします。

  3. 組織ロールに対応する SAML グループを入力します。

    重要

    各グループに対して、完全修飾識別名を使用する必要があります。 複数の LDAP または SAML グループが同じロールに対応する場合は、2 つのセミコロンで区切ります( ;; )。 ロールの フィールドからグループを削除して、そのロールに対するグループのアクセスを取り消します。

  4. [Save Changes] をクリックします。

12

SAML構成を保存すると、 Download the Metadata XML Fileへのリンクが表示されます。

このリンクをクリックして、 SAML SP メタデータ XML ファイルをダウンロードします。

このメタデータ ファイルは次の例のようになります。

1<?xml version="1.0"?>
2<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" validUntil="2019-09-13T20:36:00Z" cacheDuration="PT604800S" entityID="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080" ID="ONELOGIN_f95ad815-e8da-4ab3-a799-3c581484cd6a">
3 <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
4 <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080/saml/logout"/>
5 <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
6 <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080/saml/assert" index="1"/>
7 </md:SPSSODescriptor>
8</md:EntityDescriptor>
13

IdPで オプションが提供される場合は、メタデータをIdPにインポートします。 MongoDB Ops Managerは、 IdPのサービスプロバイダー(SP)として機能します。

IdP へのメタデータ XML ファイルで次の値を指定します。

フィールド
共通値

SP Entity ID or Issuer

<OpsManagerHost>:<Port>

Audience URI

<OpsManagerHost>:<Port>

Assertion Consumer Service (ACS) URL

<OpsManagerHost>:<Port>/saml/assert

Single Logout URL

<OpsManagerHost>:<Port>/saml/logout

これらの値の 1 つ以上が欠落している場合は、前の表に記載されているガイドラインを使用してそれらの値を設定します。

これらの値をIdPに保存します。

14
  1. プライベート ブラウザ ウィンドウで、 インスタンスにGo MongoDB Ops Managerします。

    IdPにリダイレクトされます。

  2. IdPで認証します。

    次に、 MongoDB Ops Managerインスタンスにリダイレクトされます。

戻る

LDAP の構成