自己管理型配置での認証
注意
MongoDB 8.0以降、 LDAP認証と認可は非推奨です。 LDAP は使用可能であり、 MongoDB 8のサポート期間中に変更されずに動作し続けます。 LDAP は将来のメジャー リリースで削除される予定です。
詳細については、「LDAP の非推奨」を参照してください。
認証は、クライアントの ID を確認するプロセスです。 アクセス制御(認証)が有効になっている場合、MongoDB はアクセスを決定するためにすべてのクライアントに認証を要求します。
認証と承認は密接に関連していますが、以下に示すように認証は承認とは異なります。
認証は、ユーザーの ID を確認します。
承認は、リソースと操作に対する確認済みユーザーのアクセス権が決まります。
MongoDB Atlas でホストされている配置のUI を介して認証を構成できます。
スタートガイド
アクセス制御の使用を開始するには、次のチュートリアルに従ってください。
認証メカニズム
SCRAM | x.509 | Kerberos | LDAP | OIDC | AWS-ISAM | |
|---|---|---|---|---|---|---|
MongoDB Community | ✓ | ✓ | ||||
MongoDB Enterprise | ✓ | ✓ | ✓ | ✓ | ✓ | |
MongoDB Atlas (M10 以上) | ✓ | ✓ | ✓ | ✓ | ✓ | |
MongoDB Atlas (共有階層) | ✓ | ✓ | ✓ | |||
MongoDB Atlas (Flex) | ✓ | ✓ | ✓ |
SCRAM 認証
SCRAM(Salted Challenge Response Authentication Mechanism)は、MongoDB のデフォルトの認証メカニズムです。
SCRAM と MongoDB の詳細については、以下を参照してください。
X. 509証明書認証
MongoDB はクライアント認証およびレプリカセットやシャーディングされたクラスターのノードの内部認証に対して X.509 証明書による認証をサポートします。 X.509 証明書認証には、安全な TLS/SSL 接続 が必要です。
X. とMongoDB509 を一緒に使用するには、認証局によって生成および署名された有効な証明書を使用する必要があります。クライアントX.509 証明書は、クライアント証明書の要件 を満たしている必要があります。
X.509 とMongoDBの詳細については、
Kerberos 認証
MongoDB Enterprise は Kerberos 認証をサポートしています。Kerberos は、大規模なクライアント/サーバー システム向けの業界標準の認証プロトコルで、チケットと呼ばれる有効期間の短いトークンを使用した認証を提供します。
Kerberos と MongoDB を一緒に使用するには、適切に構成された Kerberos 配置、MongoDB 用に構成された Kerberos サービス プリンシパル、および MongoDB に追加された Kerberos ユーザー プリンシパルが必要です。
Kerberos と MongoDB の詳細については、以下を参照してください。
LDAPプロキシ認証
MongoDB Enterprise および MongoDB Atlas は、 LDAP(Lightweight Directory Access Protocol)サービスを通して LDAP プロキシ認証をサポートしています。
Kerberos と MongoDB の詳細については、以下を参照してください。
これらのメカニズムにより、MongoDB を既存の認証システムに統合できます。
OpenID Connect 認証
MongoDB Enterprise は OpenID Connect 認証をサポートしています。OpenID Connect は、OAuth2 上に構築された認証レイヤーです。OpenID Connect を使用して、MongoDB データベースとサードパーティの ID プロバイダーとの間のシングルサインオンを構成できます。
OpenID Connect と MongoDB の詳細については、以下を参照してください。
内部認証とメンバーシップ認証
MongoDB は、クライアントの ID を確認するだけでなく、レプリカセットとシャーディングされたクラスターのノードに対して、それぞれのレプリカセットまたはシャーディングされたクラスターへの メンバーシップを認証する ように要求できます。 詳細については、「自己管理型内部認証とメンバーシップ認証」を参照してください。