/ /

`AtlasFederatedAuth` 사용자 지정 리소스

AtlasFederatedAuth 사용자 지정 리소스는 Atlas 조직에 대해 페더레이션 인증 을 구성합니다.

AtlasFederatedAuth 사용자 지정 리소스 를 만들면 Atlas Kubernetes Operator 가 연합 인증 API 리소스 를 사용하여 연합의 조직 구성을업데이트 합니다. 조직 구성에서는 조직 및 역할 매핑과 같은 Atlas 조직 에 대한 페더레이션 설정을 지정합니다.

중요

Custom Resource(사용자 정의 리소스)는 더 이상 기본적으로 객체를 삭제하지 않음

Atlas Kubernetes Operator 사용자 지정 리소스 구성 파일을 사용하여 Atlas 구성을 관리 하지만, Atlas Kubernetes Operator 부터는 Kubernetes 에서 삭제 사용자 지정 2.0 리소스가 더 이상 ( 기본값) Atlas 에서 삭제되지 않습니다. 대신 Atlas Kubernetes Operator Atlas 에서 해당 리소스 관리를 중지할 뿐입니다. 예시 들어, Kubernetes 에서 Custom Resource(사용자 AtlasProject 지정 리소스)를 삭제 하면 기본값 으로 Atlas Kubernetes Operator 더 이상 Atlas 에서 해당 프로젝트 자동으로 삭제하지 않습니다. 이러한 동작 변경은 우발적이거나 예기치 않은 삭제를 방지하기 위한 것입니다. 이 동작을 Atlas Kubernetes Operator 이전에 사용된 기본값 으로 되돌리는 2 방법0 등 자세한 학습 새 기본값: Atlas Kubernetes Operator 2 의 삭제0 보호 기능을 참조하세요.
마찬가지로, Atlas Kubernetes Operator 를 사용하여 Kubernetes 의 Atlas 프로젝트 에서 팀을 제거 하는 경우 Atlas Kubernetes Atlas Kubernetes Operator 는 Atlas 에서 팀을 삭제 하지 않습니다.

기본값 Atlas 구성 값을 암시적으로 사용하지 않으려면 원하는 구성 세부 정보를 명시적으로 정의하세요. 경우에 따라 Atlas 기본값을 상속하면 조정 루프가 발생하여 사용자 지정 리소스 READY 상태 달성하지 못할 수 있습니다. 예시 들어 AtlasDeployment 사용자 지정 리소스 에 원하는 자동 확장 동작을 명시적으로 정의하면 포함된 예시 와 같이 사용자 지정 리소스 의 정적 인스턴스 크기가 자동 확장이 활성화된 Atlas 배포서버 에 반복적으로 적용되지 않도록 할 수 있습니다.

autoScaling:
  diskGB:
    enabled: true
  compute:
    enabled: true
    scaleDownEnabled: true
    minInstanceSize: M30
    maxInstanceSize: M40

이 리소스를 사용하려면 Atlas 조직에 연결된 기존 ID 제공자(IdP)가 있어야 합니다. 자세한 내용 은 Kubernetes의 연합 인증 활용을 참조하세요.

예시

다음 예시에서는 다음을 수행하는 AtlasFederatedAuth 사용자 지정 리소스를 구성합니다.

지정된 시크릿에 연결된 조직에 대해 페더레이션 인증 활성화합니다.
my-org-domain.com 을(를) 승인된 도메인으로 추가합니다.
조직에 대한 도메인 제한을 활성화합니다.
SSO 에 대한 디버깅을 비활성화합니다.
인증 후 사용자에게 Organization Member 역할을 부여합니다.
조직의 Organization Owner 역할을 매핑하고 org-admin 이라는 IdP 그룹에 역할 매핑을 적용합니다.
이름이 dev-project 인 조직의 프로젝트에 대한 Organization Project Creator 및 Project Owner 역할을 매핑하고 dev-team 라는 IdP 그룹에 역할 매핑을 적용합니다.

apiVersion: atlas.mongodb.com/v1
kind: AtlasFederatedAuth
metadata:
  name: atlas-default-federated-auth
  namespace: mongodb-atlas-system
spec:
  enabled: true
  dataAccessIdentityProviders:
    - 32b6e34b3d91647abb20e7b8
    - 42d8v92k5a34184rnv93f0c1
  connectionSecretRef:
    name: my-org-secret
    namespace: mongodb-atlas-system
  domainAllowList:
    - my-org-domain.com
  domainRestrictionEnabled: true
  ssoDebugEnabled: false
  postAuthRoleGrants:
    - ORG_MEMBER
  roleMappings:
    - externalGroupName: org-admin
      roleAssignments:
        - role: ORG_OWNER
    - externalGroupName: dev-team
      roleAssignments:
        - role: ORG_GROUP_CREATOR
        - projectName: dev-project
          role: GROUP_OWNER
status:
  conditions:
    - type: Ready
      status: True
    - type: RolesReady
      status: True
    - type: UsersReady
      status: True

참고

앞의 예에는 업데이트 프로세스를 설명하는 status 섹션이 포함되어 있습니다. 자세한 내용은 프로세스 생성 및 업데이트를 참조하세요.

매개변수

AtlasFederatedAuth

AtlasFederatedAuth는 Atlasfederatedauth API 의 스키마입니다.

`Name`	유형	설명	필수 사항
`apiVersion`	문자열	atlas.mongodb.com/v1	true
`kind`	문자열	`AtlasFederatedAuth`	true
`metadata`	객체	`metadata` 필드 의 필드에 대해서는 Kubernetes `API` 설명서를 참조하세요.	true
`spec`	객체	`AtlasFederatedAuthSpec` `AtlasFederatedAuth`의 대상 상태 정의합니다.	거짓
`status`	객체	`AtlasFederatedAuthStatus` `AtlasFederatedAuth`의 관찰된 상태 정의합니다.	거짓

AtlasFederatedAuth.spec

AtlasFederatedAuthSpec은 AtlasFederatedAuth의 대상 상태 정의합니다.

`Name`	유형	설명	필수 사항
`connectionSecretRef`	객체	페더레이션 구성을 위한 `API` 자격 증명 있는 연결 시크릿입니다. 이러한 자격 증명 `OrganizationOwner` 권한이 있어야 합니다.	거짓
`dataAccessIdentityProviders`	[]string	이 조직 에서 데이터 액세스 에 사용할 수 있는 자격 증명 공급자를 나타내는 고유 ID 컬렉션 입니다. 이 필드 에서 현재 연결된 데이터 액세스 자격 증명 공급자가 누락된 경우 연결이 끊어집니다.	거짓
`domainAllowList`	[]string	이메일 주소를 기반으로 조직에 가입할 수 있는 사용자를 제한하는 승인된 도메인입니다.	거짓
`domainRestrictionEnabled`	부울	연합의 사용자가 연합 외부의 조직에 액세스하고 새 조직을 만들 수 없도록 합니다. 이 옵션은 전체 연합에 적용됩니다. 자세한 내용은 https://www.mongodb.com/ko-kr/docs/atlas/security/federation-advanced-options/#restrict-user-membership-to-the-federation에서 확인하세요. 기본값: false	거짓
`enabled`	부울	기본값: false	거짓
`postAuthRoleGrants`	[]string	인증 후 이 조직의 사용자에게 부여되는 Atlas 역할.	거짓
`roleMappings`	[] 객체	`IDP` 그룹을 Atlas 역할에 매핑합니다.	거짓
`ssoDebugEnabled`	부울	기본값: false	거짓

AtlasFederatedAuth.spec.connectionSecretRef

페더레이션 구성을 위한 API 자격 증명 포함된 연결 시크릿입니다. 이러한 자격 증명 에는 OrganizationOwner 권한이 있어야 합니다.

`Name`	유형	설명	필수 사항
`name`	문자열	Kubernetes 리소스의 이름	true
`namespace`	문자열	Kubernetes 리소스의 네임스페이스	거짓

AtlasFederatedAuth.spec.roleMappings

RoleMapping은 자격 증명 공급자의 외부 그룹을 Atlas 내의 역할에 매핑합니다.

`Name`	유형	설명	필수 사항
`externalGroupName`	문자열	`ExternalGroupName` 이 매핑이 적용되는 `IDP` 그룹의 이름입니다.	거짓
`roleAssignments`	[] 객체	`RoleAssignments` 프로젝트 내에서 그룹 구성원에게 부여해야 하는 역할을 정의합니다.	거짓

AtlasFederatedAuth.spec.roleMappings.roleAssignments

`Name`	유형	설명	필수 사항
`projectName`	문자열	역할 부여되어야 하는 동일한 조직의 Atlas 프로젝트 .	거짓
`role`	열거형	그룹 구성원에게 제공해야 하는 Atlas 의 `role` 입니다. 열거형: `ORG_MEMBER`, `ORG_READ_ONLY`, `ORG_BILLING_ADMIN`, `ORG_GROUP_CREATOR`, `ORG_OWNER`, `ORG_BILLING_READ_ONLY`, `GROUP_OWNER`, `GROUP_READ_ONLY`, `GROUP_DATA_ACCESS_ADMIN`, `GROUP_DATA_ACCESS_READ_ONLY`, `GROUP_DATA_ACCESS_READ_WRITE`, `GROUP_CLUSTER_MANAGER`, `GROUP_SEARCH_INDEX_EDITOR`, `GROUP_DATABASE_ACCESS_ADMIN`, `GROUP_BACKUP_MANAGER`, `GROUP_STREAM_PROCESSING_OWNER`, `ORG_STREAM_PROCESSING_ADMIN`, `GROUP_OBSERVABILITY_VIEWER`	거짓

AtlasFederatedAuth.status

AtlasFederatedAuthStatus는 AtlasFederatedAuth의 관찰된 상태 정의합니다.

`Name`	유형	설명	필수 사항
`conditions`	[] 객체	조건은 Atlas Custom Resource(사용자 지정 리소스)의 현재 상태 보여주는 상태 목록입니다.	true
`observedGeneration`	integer	`ObservedGeneration` Atlas Operator가 인식하는 리소스 사양의 생성을 나타냅니다. Atlas 연산자는 이 필드 &39;메타데이터.generation&39; 값으로 업데이트합니다. 리소스 조정을 시작하는 즉시 형식: int64	거짓

AtlasFederatedAuth.status.conditions

조건은 특정 점 의 Atlas Custom Resource(사용자 지정 리소스) 상태 를 설명합니다.

`Name`	유형	설명	필수 사항
`status`	문자열	조건의 상태입니다. 참, 거짓, 알 수 없음 중 하나입니다.	true
`type`	문자열	Atlas Custom Resource(사용자 지정 리소스) 조건 유형입니다.	true
`lastTransitionTime`	문자열	마지막으로 조건이 한 상태에서 다른 상태로 전환된 시간입니다. `ISO` 8601 형식으로 표시됩니다. 형식: 날짜-시간	거짓
`message`	문자열	전환에 대한 세부 정보를 제공하는 `message` 입니다.	거짓
`reason`	문자열	조건의 마지막 전환에 대한 `reason` 입니다.	거짓

돌아가기

Atlas Data Federation

Flex to Dedicated Migration