Docs Menu
Docs Home
/
MongoDB Ops Manager
/
セキュリティ
/
認証による安全な MongoDB デプロイ
/
OIDC 認証の有効化

OIDC で Workforce IdP を設定する

項目一覧

  • 必要なアクセス権
  • 前提条件
  • 手順
  • 外部 ID プロバイダー アプリケーションを構成する
  • Workforce IdP 認証の構成
  • OIDC 認証の構成
  • Workforce IdP を使用したMongoDBへの接続
  • 既存のワークフォース IdP 構成を管理する
  • Revoke JWKS
  • 設定を編集
  • 構成の削除

MongoDB 7.0以降では、Workforce IdP を使用して、会社の IdPなどの外部 IdP(IdP)を使用して、従業員、パートナー、コンストラクターなどの特定のワークフォースを認証および認可します。

Workforce IdP を使用すると、次のことが可能になります。

  • 既存のIdPを介して、MongoDB 配置へのワークフォース アクセスを管理します。

  • パスワードの複雑さ、認証情報のローテーション、多要素認証などのセキュリティ ポリシーを IdP 内で強制します。

プロジェクトごとに作成できる Workforce IdP は 1 つだけですが、 は構成をいつでも編集または再作成できます。

必要なアクセス権

Workforce IdP を構成するには、 MongoDB Ops ManagerへのProject Owner {3MongoDB Ops Manager アクセス権が必要です。

前提条件

次のものが必要です。

  • mongosh 1.9.1 以降。

  • MongoDB 7.0以降。

  • MongoDB Agent で少なくとも 1 つの他の認証メカニズムが構成されています。

    注意

    MongoDB Agent は OIDC を介して配置に接続できません。MongoDB Agent に対して追加の認証メカニズムを有効にする必要があります。 MongoDB Ops ManagerMongoDB Ops Managerがモニタリングまたはバックアップを管理しない場合は、 代替の認証メカニズムを使用するようにそれらを手動で構成する必要があります。

手順

MongoDB Ops ManagerWorkforce IdP を使用してMongoDB Ops Managerの配置にアクセスするには、次の手順を実行します。

  1. ワークフォース IdP(1 回限りの設定)を構成します。

    1. 外部 ID プロバイダーを構成します。

    2. MongoDB Ops Managerで Workforce IdP を構成します。MongoDB Ops Manager

  2. 外部 ID(ユーザー プリンシパル)またはグループにアクセス権を付与します。

  3. MongoDB OpsMongoDB Ops Manager Manager配置を認証します。

外部 ID プロバイダー アプリケーションを構成する

注意

プロジェクトの認証と TLS 設定をリセットする場合は、まず MongoDB Ops Manager がプロジェクト内で管理する MongoDB 配置の管理を解除します。

OIDC を使用して Workforce IdP を構成するには、 Microsoft Entra ID 、Okta、Ping Identity など、OIDC 標準をサポートする IdP を使用して OIDCアプリケーションを登録します。

OIDCアプリケーションは、次の付与タイプで構成できます。

  • PKCEを使用した認証コードフロー

  • デバイス認証フロー

MongoDB では、セキュリティを強化するために、Authorization Code Flow とPKCEを使用することを推奨しています。 ユーザーがブラウザを使用せずにマシンからデータベースにアクセスする必要がある場合にのみ、Device Authorization Flow を使用します。

OIDCアプリケーションの登録手順は、 IdPによって異なる場合があります。 登録プロセス中に次の項目を必ず完了してください。

OIDCアプリケーションの一般的な登録手順は次のとおりです。

1

MongoDB Ops Manager に新しいアプリケーションを登録します。

クライアント タイプとして public client/native applicationを選択します。

2

Redirect URLの値をhttp://localhost:27097/redirect に設定します。

3

(条件付き)グループで認証する場合は、groups クレームを追加または有効にします。

グループの場合、この手順により、アクセス トークンにユーザー認証のグループ メンバーシップ情報が含まれていることを確認できます。 MongoDB は、認可のためにグループ クレームで送信された値を使用します。

4

(任意)MongoDB クライアントでトークンを更新してユーザー エクスペリエンスを向上させる場合は、更新トークンを許可します。

5

(任意)アクセス トークンの有効期間( expクレーム)をデータベース接続セッション時間と一致するように設定します。

アプリケーションを登録 したら、構成の次の段階で使用する issuerclientIdaudience の値を保存します。

OIDCアプリケーションを Microsoft Entra ID に登録するには、次の手順に従います。

1

アプリケーションを登録します。

  1. App registrationsに移動します。

    1. Azure portal で アカウント、検索、Microsoft Entra ID の順にクリックします。

    2. 左側のナビゲーションの Manage セクションで、App registrations をクリックします。

  2. [New registration] をクリックします。

  3. 次の値を適用します。

    フィールド
    Name
    Ops Manager Database - Workforce
    Supported Account Types
    Accounts in this organizational directory only (single tenant)
    Redirect URI
    - Public client/native (mobile & desktop)
    - http://localhost:27097/redirect

  4. [Register] をクリックします。

アプリケーションの登録の詳細については、 Azure のドキュメントを参照してください。

2

グループ クレームを追加します。

  1. Token Configurationに移動します。

    左側のナビゲーションの Manage セクションで、Token Configuration をクリックします。

  2. [Add groups claim] をクリックします。

  3. Edit groups claimモーダルで、 Securityを選択します。

    選択するグループは、Azure 環境で構成したグループのタイプによって異なります。 適切なグループ情報を送信するには、別のタイプのグループを選択する必要がある場合があります。

  4. Customize token properties by typeセクションで、 Group IDのみを選択します。

  5. [Add] をクリックします。

グループ クレームを追加する方法の詳細については、 Azure ドキュメント を参照してください。

3

アクセス トークンにユーザー識別子クレームを追加します。

  1. [Add optional claim] をクリックします。

  2. Add optional claimモーダルで、 Accessを選択します。

  3. メールなど、MongoDB アクセス ログで参照できるユーザー識別子を含むクレームを選択します。

    UPNクレームを使用して、メール アドレスを持つユーザーを識別できます。

  4. [Add] をクリックします。

  5. Microsoft Graph Permissionsノートで、[] ボックスをオンにし、[ Addをクリックします。

詳しくは、 Azure のドキュメント を参照してください。

4

マニフェストを更新します。

  1. 左側のナビゲーションの Manage セクションで、Manifest をクリックします。

  2. nullから2accessTokenAcceptedVersionを更新します。

    数字2は Microsoft のアクセス トークンのバージョン 2 を表します。 他のアプリケーションは、Active Directory が管理するユーザーの ID の署名された認証局としてこれを使用できます。 バージョン 2 では、トークンはJSON web token MongoDBが理解する であることが保証されます。

  3. [Save] をクリックします。

オプションのクレームを追加する方法の詳細については、 Azure のドキュメント を参照してください。

5

メタデータを記憶します。

  1. 左側のナビゲーションで [ Overview ] をクリックします。

    Application (client) ID値をコピーします。

  2. 上部のナビゲーションで、 Endpointsをクリックします。

    /.well-known/openid-configuration部分を除いてOpenID Connect metadata document値をコピーします。

    この値は、 OpenID Connect metadata document URLissuerの値をコピーすることで取得することもできます。

次の表は、これらのMicrosoft Entra ID UIの値がMongoDB Atlas構成プロパティでどのようにマップされているかを示しています。

Microsoft Entra ID UI
MongoDB Atlas構成プロパティ
Application (client) ID
Client ID
Audience
OpenID Connect metadata document (without /.well-known/openid-configuration)
Issuer URI.

Workforce IdP 認証の構成

OIDC を使用して Workforce IdP を構成するには、次の手順を実行します。

注意

Workforce IdP は認証用にJSON web tokenのみをサポートしています。 不変のアクセス トークンはサポートされていません。

1

配置用のSecurity Settings ダイアログに移動します。

  1. Organizationsナビゲーション バーの [] メニューから、プロジェクトを含む組織を選択します。

  2. ナビゲーション バーのProjectsメニューからプロジェクトを選択します。

  3. サイドバーの Deployment をクリックします。

  4. [Security] タブをクリックします。

  5. [Settings] タブをクリックします。

  6. 次のいずれかのアクションを実行します。

    • このプロジェクトでTLS 、認証、または認可設定を初めて構成する場合は、 Get Startedをクリックします。

    • このプロジェクトのTLS認証または認可設定をすでに構成している場合は、[ Editをクリックします。

2

オプション: TLS 設定を指定します。

フィールド
アクション
MongoDB 配置トランスポート層セキュリティ (TLS)
このスライダーをONに切り替えます。
TLS CA ファイルパス

TLS認証局ファイルは、証明機関からのルート証明書チェーンを含む.pem形式の証明書ファイルです。 MongoDB Agent は、この同じ認証局ファイルを使用して、配置内のすべてのアイテムに接続します。

証明書ファイルの暗号化された秘密キーは、.pem PKCS #1 に含まれている必要があります。 形式。MongoDB Agent は PKCS #8 をサポートしていません。 形式。

MongoDB プロセスを実行しているすべてのホスト上のTLS認証局ファイルへのファイル パスを入力します。

  • 最初のボックスにすべての Linux ホスト上のファイルパスを入力します。

  • 2 番目のボックスにすべての Windows ホスト上のファイル パスを入力します。

これにより、プロジェクト内の MongoDB プロセスのnet.tls.CAFile設定が有効になります。

Validateをクリックして、指定したパスで配置内の各ホストにTLS認証局があることをテストします。

クラスター TLS CA ファイル パス

接続を確立するクライアントによって提示された証明書を検証するために使用される証明機関からのルート証明書チェーンを含む.pemファイル。 相対パスまたは絶対パスを使用して、 .pemファイルのファイル名を指定します。 net.tls.clusterCAFileにはnet.tls.CAFileが設定されている必要があります。

net.tls.clusterCAFileを指定しない場合、クラスターはnet.tls.CAFileオプションで指定された.pemファイルを使用します。

net.tls.clusterCAFile クライアントからサーバー、サーバーからクライアントへのTLS ハンドシェイクの各部分を検証するために、異なる認証局を使用することができます。

クライアント証明書モード

TLS 対応のMongoDB配置に接続するときにクライアントアプリケーションまたはMongoDBエージェントが TLS 証明書を提示する必要がある場合は、 を選択します。MongoDBデプロイでは、接続時にこれらのクライアントホストからの証明書がチェックされます。 クライアントTLS 証明書を要求する場合は、有効であることを確認します。

指定できる値は次のとおりです。

任意
すべてのクライアントは MongoDB 配置に接続するときに有効なTLS証明書を提示する場合があります。 を mongodtlsModeに設定 しない 場合、MongoDB エージェントは TLSNone 証明書を使用する可能性があります。
必須
このプロジェクト内のすべての MongoDB 配置は、 TLSで暗号化されたネットワーク接続から始まります。 MongoDB 配置に接続するには、すべてのエージェントがTLSを使用する必要があります。
3

認証メカニズムを選択します。

MongoDB Deployment Authentication Mechanismセクションで、[Federated Auth (OIDC)] を選択します。

4

新しい OIDC IdP 構成を作成します。

  1. OIDC Connection and Authorization (Required for OIDC)セクションで、 + OIDC IdP Configurationをクリックします。

  2. OIDC Protocol Settingsダイアログ ボックスでWorkforce Identity Federation [] を選択します。

5

次の設定を入力します。

設定
必要性
Configuration Name
必須

この構成を識別する一意のラベル。 このラベルは MongoDB Ops Manager ユーザーに表示され、認可のユーザーとロールを作成するときに使用されます。大文字と小文字が区別され、次の文字のみを含めることができます。

  • 英数字(az09 の組み合わせ)

  • ハイフン(-

  • アンダースコア(_

構成を保存した後は、構成名を編集することはできません。

Issuer URI
必須
登録されたIdPアプリケーションによって提供される発行者値。 この URI を使用して、MongoDB は/.wellknown/open-id-configurationエンドポイントで利用可能なはずの OpenID プロバイダー構成ドキュメントを見つけます。
Client ID
必須
登録されたアプリケーションの一意の識別子です。 外部 IdP に登録したアプリのclientId値を入力します。
Audience
必須
外部 ID プロバイダーがトークンを発行するエンティティ。 外部 IdP に登録したアプリのaudience値を入力します。 一般的に、この値はClient IDと同じです。
Requested Scopes
任意

承認エンドポイントからデータをリクエストする権限をユーザーに付与するトークン。

追加する追加のスコープごとに、[ Add more scopes ] をクリックします。

authorizationType
必須
IdPユーザー グループ メンバーシップに基づいて認可を付与するにはGroup Membershipを選択し、個々のユーザーに認可を付与するにはUser IDを選択します。
Customize User Claim
必須

ユーザー プリンシパル ID を含む要求の識別子。 IdPが別の要求を使用しない限り、デフォルト値を受け入れます。

デフォルト: sub

Customize Group Claim
必須

認可タイプとして Group Membership を選択した場合は必須です。プリンシパルの IdP ユーザー グループ メンバーシップ情報を含む要求の識別子。IdP が別のクレームを使用している場合を除き、カスタム クレームが必要な場合を除き、デフォルト値を受け入れます。

デフォルト: groups

6

をクリックします。<a class=\" \" href=\" \" title=\" \"><svg xmlns=\" \" width=\" \" height=\" \" fill=\" \" viewbox=\" \" class=\" \" role=\" \" aria-label=\" \"><path fill=\" \" d=\" \"> <path fill=\" \" d=\" \">Save Configuration

MongoDBMongoDB Ops Manager Ops Managerは構成を保存し、 セクションに一覧表示します。OIDC Connection and Authorization (Required for OIDC)

7

をクリックします。<a class=\" \" href=\" \" title=\" \"><svg xmlns=\" \" width=\" \" height=\" \" fill=\" \" viewbox=\" \" class=\" \" role=\" \" aria-label=\" \"><path fill=\" \" d=\" \"> <path fill=\" \" d=\" \">Save Settings

8

Review & Deploy変更内容を確認するには、 をクリックします。

9

Confirm & Deploy変更を配置するには、 をクリックします。

そうでない場合は、 Cancelをクリックすると、追加の変更を行うことができます。

OIDC 認証の構成

MongoDBは OIDC のデータベースユーザーを明示的に作成しません。構成に基づいて、OIDC ユーザーをMongoDBロールにマッピングします。

OIDC認証の構成 時に選択した認可タイプに応じてタブを選択します。

Group Membership認可タイプを選択した場合は、次の手順を実行して、 IdP ユーザー グループ メンバーシップに基づいて認可を付与するカスタムロールを作成します。

1

配置のMongoDB Roles [0} ] タブに移動します。

  1. Organizationsナビゲーション バーの [] メニューから、プロジェクトを含む組織を選択します。

  2. ナビゲーション バーのProjectsメニューからプロジェクトを選択します。

  3. サイドバーの Deployment をクリックします。

  4. [Security] タブをクリックします。

  5. [MongoDB Roles] タブをクリックします。

2

をクリックします。<a class=\" \" href=\" \" title=\" \"><svg xmlns=\" \" width=\" \" height=\" \" fill=\" \" viewbox=\" \" class=\" \" role=\" \" aria-label=\" \"><path fill=\" \" d=\" \"> <path fill=\" \" d=\" \">Add New Role

3

OIDC ロールを作成します。

  1. 次のフィールドを入力します。

    フィールド
    必要性
    説明
    Identifier
    必須

    Databaseボックスにadminと入力します。

    Nameボックスに、OIDC IdP 構成名と外部IdPのグループ名をスラッシュで区切って入力します:/

    {configuration_name}/{group_name}
    Inherits From
    任意
    ロール名とデータベースのペアのリスト。 これらのペアの形式はroleName@dbNameです。
    Authentication Restrictions
    任意
    IdPから制限する IP アドレスまたは CIDR 表記のリスト。
    Privilege Actions by Resource
    任意

    リソースに対して許可されるアクション。

    詳しくは、「特権アクション 」を参照してください。

  2. [Add Role] をクリックします。

User ID認可タイプを選択した場合は、新しいユーザーを作成して、個々のユーザーに認可を付与します。

1

配置のMongoDB Users [0} ] タブに移動します。

  1. Organizationsナビゲーション バーの [] メニューから、プロジェクトを含む組織を選択します。

  2. ナビゲーション バーのProjectsメニューからプロジェクトを選択します。

  3. サイドバーの Deployment をクリックします。

  4. [Security] タブをクリックします。

  5. [MongoDB Users] タブをクリックします。

2

をクリックします。<a class=\" \" href=\" \" title=\" \"><svg xmlns=\" \" width=\" \" height=\" \" fill=\" \" viewbox=\" \" class=\" \" role=\" \" aria-label=\" \"><path fill=\" \" d=\" \"> <path fill=\" \" d=\" \">Add New User

3

OIDC ユーザーを追加します。

注意

ユーザーを追加する前に、ユーザーに割り当てるロールを作成していることを確認してください。

  1. ユーザーアカウントのフィールドを入力します。

    フィールド
    説明
    Identifier

    • 最初のフィールドに $externalデータベースを入力します。

    • 2 番目のフィールドに、OIDC IdP 構成名と構成のユーザー プリンシパル クレームをスラッシュで区切って使用してユーザー名を入力します。/

      {configuration_name}/{user_principal_claim}
    Roles
    使用可能なユーザー定義ロールと組み込みロールをこのボックスに入力します。 コンボボックス内で をクリックすると、既存のロールのリストが表示されます。
    Authentication Restrictions

    1. [Add Entry] をクリックします。

    2. ボックスまたは Client SourceServer Addressボックスのいずれかに 1 つ以上のIPアドレスや CIDR ブロックを追加します。複数のアドレスまたはブロックはカンマで区切ります。

      • Client Source は、このユーザーが認証を行い、指定されたロールを使用できるアドレスを制限します。

      • Server Address は、このユーザーが認証できるアドレスを制限し、指定されたロールを持つ必要があります。

    3. [Save] をクリックします。

    4. 別のエントリを追加するには、[ Add Entry ] をクリックします。

  2. [Add User] をクリックします。

4

Review & Deploy変更内容を確認するには、 をクリックします。

5

Confirm & Deploy変更を配置するには、 をクリックします。

そうでない場合は、 Cancelをクリックすると、追加の変更を行うことができます。

Workforce IdP を使用したMongoDBへの接続

アプリケーションを Workforcemongosh IdP認証を使用してMongoDBに接続するには、 または Compass を使用します。

既存のワークフォース IdP 構成を管理する

Workforce IdP の構成を管理するには、次のアクションを実行します。

Revoke JWKS

注意

署名キーをローテーションするために、この機能を使用しないでください。 OIDC IdP署名キーをローテーションすると、MongoDB は既存のアクセス トークンの有効期限が切れると、JWKS を自動的に取得します。

秘密キーが侵害された場合は、MongoDB ノードにキャッシュされた JWKS(JSON Web Key Sets)をすぐに取り消すことができます。

1

配置用のSecurity Settings ダイアログに移動します。

  1. まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーの Projects メニューから目的のプロジェクトを選択します。

  3. まだ表示されていない場合は、サイドバーの [Deployment] をクリックします。

  4. [Security] タブをクリックします。

  5. [Settings] タブをクリックします。

2

JWKS トークンを取り消します。

  1. OIDC Connection and Authorization (Required for OIDC)セクションまでスクロールします。

  2. REVOKE JWKSボタンをクリックします。

  3. Revoke JWKS tokens?ダイアログボックスで、[ Revoke ] をクリックします。

設定を編集

Workforce IdP の設定を編集するには

1

配置用のSecurity Settings ダイアログに移動します。

  1. Organizationsナビゲーション バーの [] メニューから、プロジェクトを含む組織を選択します。

  2. ナビゲーション バーのProjectsメニューからプロジェクトを選択します。

  3. サイドバーで [Deployment] をクリックします。

  4. [Security] タブをクリックします。

  5. [Settings] タブをクリックします。

2

設定を編集します。

  1. OIDC Connection and Authorization (Required for OIDC)セクションまでスクロールします。

  2. 編集する構成については、EDIT ボタンをクリックします。

  3. 構成を変更します。

3

をクリックします。<a class=\" \" href=\" \" title=\" \"><svg xmlns=\" \" width=\" \" height=\" \" fill=\" \" viewbox=\" \" class=\" \" role=\" \" aria-label=\" \"><path fill=\" \" d=\" \"> <path fill=\" \" d=\" \">Save Configuration

4

をクリックします。<a class=\" \" href=\" \" title=\" \"><svg xmlns=\" \" width=\" \" height=\" \" fill=\" \" viewbox=\" \" class=\" \" role=\" \" aria-label=\" \"><path fill=\" \" d=\" \"> <path fill=\" \" d=\" \">Save Settings

5

Review & Deploy変更内容を確認するには、 をクリックします。

6

Confirm & Deploy変更を配置するには、 をクリックします。

そうでない場合は、 Cancelをクリックすると、追加の変更を行うことができます。

構成の削除

Workforce IdP 構成を削除するには、次の手順に従います。

1

配置用のSecurity Settings ダイアログに移動します。

  1. Organizationsナビゲーション バーの [] メニューから、プロジェクトを含む組織を選択します。

  2. ナビゲーション バーのProjectsメニューからプロジェクトを選択します。

  3. サイドバーの Deployment をクリックします。

  4. [Security] タブをクリックします。

  5. [Settings] タブをクリックします。

2

構成を削除します。

  1. OIDC Connection and Authorization (Required for OIDC)セクションまでスクロールします。

  2. 削除する構成で、REMOVE ボタンをクリックします。

  3. Removing OIDC IdP configuration?ダイアログボックスで、[ Remove ] をクリックします。

戻る

OIDC 認証の有効化

次へ

ワークロード(アプリケーション)