ユーザーの認可

項目一覧

Workload Identity Federation を使用して、 MongoDBにデータベースユーザーを追加できます。このアプローチにより、組織のIdP はユーザーのアクセスを管理し、データベース操作の安全で一元化された認証を確保できます。

始める前に

oidcIdentityProvidersの構成によって、ユーザーを認可するために必要なアプローチが決まります。

内部認可を有効にするために useAuthorizationClaimフィールドを false に設定している場合は、ユーザー ID を持つユーザーを承認します。
フィールドが true に設定されている場合は、 IdPグループを持つユーザーを承認します。

adminデータベースで、 db.createRole()メソッドを使用して、IdP グループロールを MongoDB ロールにマッピングするロールを作成します。

ロールを作成するには、次の形式を使用します。

<authNamePrefix>/<authorizationClaim>

oidcIdentityProvidersパラメータはauthNamePrefixフィールドとauthorizationClaimフィールドを提供します。例:

db.createRole( {
   role: "okta/Everyone",
   privileges: [ ],
   roles: [ "readWriteAnyDatabase" ]
} )

ユーザーを作成するときは、$externalデータベースにそのユーザーを作成する必要があります。 $externalデータベースに切り替えるには、次のコマンドを実行します。

use $external

ユーザーを作成し、 MongoDBデータベースに追加するには、db.createUser() コマンドを使用します。

フィールドには次の形式を使用します。user authNamePrefixとauthorizationClaim の値はoidcIdentityProviders パラメータから取得されます。

<authNamePrefix>/<authorizationClaim>

MongoDBで、okta の authNamePrefix と jane.doe の authorizationClaim を持つユーザーを作成するには、次のコマンドを実行します。

db.createUser( {
   user: "okta/jane.doe",
   roles: [
      {
         role: "readWriteAnyDatabase",
         db: "admin"
      }
   ]
} )

Workload Identity Federation を使用して、次のサポートされているドライバーを使用して、アプリケーションをMongoDBに接続できます。

戻る

Workload Identity Federation でMongoDB を構成する

内部