Docs Menu
Docs Home
/
MongoDBマニュアル
/
自己管理型配置
/
セキュリティ
/
認証
/
OIDC/OAuth 2.0
/
ワークロード(アプリケーション)

外部 ID プロバイダーを構成する

項目一覧

  • このタスクについて
  • 始める前に
  • 手順

OAuth 2.0 を使用して Workload Identity Federation を構成するには、 Microsoft AzureやGoogle Cloud Platform (GCP )などの外部IdPに OAuth 2.0アプリケーションを登録します。これにより、安全な認証が可能になり、ユーザー管理が効率化されます。

このタスクについて

Workload Identity Federation は OAuth 2.0 アクセス トークンを使用します。これらのトークンは、任意の外部IdPが発行できます。

次の手順では、 Microsoft Azure Entra IDとGoogle Cloud PlatformをMongoDBの外部 ID プロバイダーとして構成します。

始める前に

  • To use Microsoft Azure as an IdP, you must have a Microsoft Azure account.

  • Google Cloud をIdPとして使用するには、Google Cloud アカウントが必要です。

手順

Azure Managed Identity またはAzure Service Principals を使用して自己管理型MongoDBインスタンスにアクセスするには、 Azure Entra IDアプリケーションを登録する必要があります。 ワークフォース(人間のユーザー)アクセス用の既存のアプリケーション登録がある場合は、ワークロード アクセス用に別のアプリケーションを登録することをお勧めします。

1

アプリケーションを登録する

  1. App registrationsに移動します。

    1. Azure portal で アカウント、検索、Microsoft Entra ID の順にクリックします。

    2. 左側のナビゲーションの Manage セクションで、App registrations をクリックします。

  2. [New registration] をクリックします。

  3. 次の値を適用します。

    フィールド

    Name

    MongoDB - Workload

    Supported Account Types

    Accounts in this organizational directory only (single tenant)

    Redirect URI

    Web

2

(任意)グループ クレームを追加する

アプリケーションアクセスの場合、自己管理型MongoDB配置でアクセス権を定義する際に、サービス プリンシパル識別子をMongoDBユーザー識別子として使用することをお勧めします。この一般的なアプローチを使用する場合は、このステップをスキップしてください。ただし、代わりにAzure AD セキュリティ グループ識別子などのグループ識別子を使用する場合は、次の手順でアプリケーション登録でグループ クレームを設定できます。

  1. Token Configurationに移動します。

    左側のナビゲーションの Manage セクションで、Token Configuration をクリックします。

  2. [Add groups claim] をクリックします。

  3. Edit groups claimモーダルで、 Securityを選択します。

    選択するグループは、Azure 環境で構成したグループのタイプによって異なります。 適切なグループ情報を送信するには、別のタイプのグループを選択する必要がある場合があります。

  4. Customize token properties by typeセクションで、 Group IDのみを選択していることを確認します。

    Group IDを選択すると、Azure はセキュリティ グループのオブジェクト ID を送信します。

  5. [Add] をクリックします。

    グループ クレームを追加する方法の詳細については、 Azure ドキュメント を参照してください。

3

アプリケーションID URI の有効化

  1. 左側のサイドバーでExpose an APIに移動し、アプリケーション ID URI を有効にします。

  2. アプリケーション ID URI を有効にします。

    Azureによって割り当てられたデフォルトのアプリケーションID URI を保持します。これは <application_client_id> です。この値をコピーして保存します。自己管理型MongoDB配置とすべてのMongoDBドライバーでは、ワークロード IdP の構成にこの値が必要です。

4

マニフェストを更新する

  1. 左側のナビゲーションの Manage セクションで、Manifest をクリックします。

  2. nullから2accessTokenAcceptedVersionを更新します。

    数字 2 は、Microsoft のアクセス トークンのバージョン 2 を表します。他のアプリケーションは、Active Directory が管理するユーザーの ID の証明としてこれを使用できます。バージョン 2 の場合、トークンはMongoDBが理解するJSON Web Token であることが保証されます。

  3. [Save] をクリックします。

オプションのクレームを追加する方法の詳細については、 Azure のドキュメント を参照してください。

5

メタデータを記憶する

  1. 左側のナビゲーションで [ Overview ] をクリックします。

  2. 上部のナビゲーションで、 Endpointsをクリックします。

    /.well-known/openid-configuration を除く OpenID Connect metadata document 値をコピーします。

    この値は、OpenID Connect metadata document URLをクリックし、issuer の値をコピーして取得することもできます。

次の表は、これらのMicrosoft Entra ID UIの値がMongoDBoidcIdentityProviders パラメーターにマップされる内容を示しています。

Microsoft Entra ID UI
MongoDB oidcIdentityProviders パラメーター フィールド

OpenID Connect metadata document (without /.well-known/openid-configuration)

issuer

Application ID URI

audience

Google Cloud サービス アカウントの設定を変更する必要はありません。

戻る

ワークロード(アプリケーション)

次へ

Workload Identity Federation でMongoDBを構成する