Kubernetes의 연합 인증 활용
이 페이지의 내용
Atlas Kubernetes Operator는 Atlas 조직에 대해 페더레이션 인증 사용을 지원합니다.
참고
Atlas Kubernetes Operator를 사용하여 IdP 를 설정할 수 없습니다. IdP 를 설정하려면 데이터베이스 배포 인증 및 권한 부여 구성을 참조하세요.
IdP 를 설정한 후에는 사용자가 IdP 를 사용하도록 인증하는 역할 매핑을 관리할 수 있습니다.
Atlas Kubernetes Operator 를 통해 페더레이션 인증 을 구성하려면 AtlasFederatedAuth Custom Resource(사용자 지정 리소스 )를 지정하고 업데이트 해야 합니다.
AtlasFederatedAuth 사용자 지정 리소스를 만들면 Atlas Kubernetes Operator가 연합 인증 API 리소스 를 사용하여 연합의 조직 구성을 업데이트 합니다. 조직 구성에서는 조직 및 역할 매핑과 같은 Atlas 조직에 대한 페더레이션 설정을 지정합니다.
The AtlasFederatedAuth Custom Resource is not required to map database users to an IdP, both any existing authentication IdP or workload and workforce IdP. You can use the AtlasDatabaseUser custom resource to manage database users, in which you specify the authentication method used for a given database user. The AtlasDatabaseUser custom resource must be configured in conjunction with federated authentication to associate users and roles in the IdP with users and groups in MongoDB.
The AtlasFederatedAuth Custom Resource is optional to use any federated authentication, provided that you have configured it elsewhere in Atlas.
전제 조건
Atlas Kubernetes Operator를 사용하여 페더레이션 인증을 구성하려면 먼저 다음이 필요합니다.
Atlas에 연결된 기존 ID 제공자(IdP). IdP 를 Atlas에 연결하는 방법을 알아보려면 ID 제공자 관리를 참조하세요.
시크릿 Atlas Kubernetes Operator가 Atlas에 연결 하는 데 사용할 수 있는 API 키 를 사용합니다. API 키에는
Organization Owner역할이 있어야 합니다.활성 Atlas 조직 또는 조직의 프로젝트 내에서 하나 이상의 역할 .
조직 구성 업데이트
Atlas Kubernetes Operator를 통해 페더레이션 인증을 구성하려면 AtlasFederatedAuth 사용자 지정 리소스를 지정하여 페더레이션의 조직 구성을 업데이트합니다.
다음 예시에서는 다음을 수행하는 AtlasFederatedAuth 사용자 지정 리소스를 구성합니다.
my-org-domain.com을(를) 승인된 도메인으로 추가합니다.조직에 대한 도메인 제한을 활성화합니다.
SSO 에 대한 디버깅을 비활성화합니다.
인증 후 사용자에게
Organization Member역할을 부여합니다.조직의
Organization Owner역할을 매핑하고org-admin이라는 IdP 그룹에 역할 매핑을 적용합니다.이름이
dev-project인 조직의 프로젝트에 대한Organization Project Creator및Project Owner역할을 매핑하고dev-team라는 IdP 그룹에 역할 매핑을 적용합니다.
자세히 알아보려면 매개변수를 참조하세요.
참고
spec.roleMappings.roleAssignments 매개 변수에는 현재 조직 또는 조직의 프로젝트 내 조직 역할이 하나 이상 포함되어야 합니다.
예시:
cat <<EOF | kubectl apply -f - apiVersion: atlas.mongodb.com/v1 kind: AtlasFederatedAuth metadata: name: atlas-default-federated-auth namespace: mongodb-atlas-system spec: enabled: true dataAccessIdentityProviders: - 32b6e34b3d91647abb20e7b8 - 42d8v92k5a34184rnv93f0c1 connectionSecretRef: name: my-org-secret namespace: mongodb-atlas-system domainAllowList: - my-org-domain.com domainRestrictionEnabled: true ssoDebugEnabled: false postAuthRoleGrants: - ORG_MEMBER roleMappings: - externalGroupName: org-admin roleAssignments: - role: ORG_OWNER - externalGroupName: dev-team roleAssignments: - role: ORG_GROUP_CREATOR - projectName: dev-project role: GROUP_OWNER EOF
업데이트 프로세스의 상태를 확인하려면 다음 명령을 실행합니다.
kubectl get atlasfederatedauth -o yaml
Atlas Kubernetes Operator는 사용자 지정 리소스를 반환하며 다음 예시와 유사한 상태 섹션을 포함합니다.
status: conditions: - type: Ready status: True - type: RolesReady status: True - type: UsersReady status: True
이 리소스에 사용할 수 있는 매개 변수에 대해 알아보려면 AtlasFederatedAuth 사용자 지정 리소스를 참조하세요.