Kubernetes의 연합 인증 활용

이 페이지의 내용

전제 조건

조직 구성 업데이트

Atlas Kubernetes Operator는 Atlas 조직에 대해 페더레이션 인증 사용을 지원합니다.

참고

Atlas Kubernetes Operator를 사용하여 IdP 를 설정할 수 없습니다. IdP 를 설정하려면 데이터베이스 배포 인증 및 권한 부여 구성을 참조하세요.

IdP 를 설정한 후에는 사용자가 IdP 를 사용하도록 인증하는 역할 매핑을 관리할 수 있습니다.

Atlas Kubernetes Operator 를 통해 페더레이션 인증 을 구성하려면 AtlasFederatedAuth Custom Resource(사용자 지정 리소스 )를 지정하고 업데이트 해야 합니다.

AtlasFederatedAuth 사용자 지정 리소스를 만들면 Atlas Kubernetes Operator가 연합 인증 API 리소스 를 사용하여 연합의 조직 구성을 업데이트 합니다. 조직 구성에서는 조직 및 역할 매핑과 같은 Atlas 조직에 대한 페더레이션 설정을 지정합니다.

전제 조건

Atlas Kubernetes Operator를 사용하여 페더레이션 인증을 구성하려면 먼저 다음이 필요합니다.

Atlas에 연결된 기존 ID 제공자(IdP). IdP 를 Atlas에 연결하는 방법을 알아보려면 ID 제공자 관리를 참조하세요.
시크릿 Atlas Kubernetes Operator가 Atlas에 연결 하는 데 사용할 수 있는 API 키 를 사용합니다. API 키에는 Organization Owner 역할이 있어야 합니다.
활성 Atlas 조직 또는 조직의 프로젝트 내에서 하나 이상의 역할 .

조직 구성 업데이트

Atlas Kubernetes Operator를 통해 페더레이션 인증을 구성하려면 AtlasFederatedAuth 사용자 지정 리소스를 지정하여 페더레이션의 조직 구성을 업데이트합니다.

다음 예시에서는 다음을 수행하는 AtlasFederatedAuth 사용자 지정 리소스를 구성합니다.

지정된 시크릿 에 연결된 조직에 대해 페더레이션 인증을 활성화합니다. .
my-org-domain.com 을(를) 승인된 도메인으로 추가합니다.
조직에 대한 도메인 제한을 활성화합니다.
SSO 에 대한 디버깅을 비활성화합니다.
인증 후 사용자에게 Organization Member 역할을 부여합니다.
조직의 Organization Owner 역할을 매핑하고 org-admin 이라는 IdP 그룹에 역할 매핑을 적용합니다.
이름이 dev-project 인 조직의 프로젝트에 대한 Organization Project Creator 및 Project Owner 역할을 매핑하고 dev-team 라는 IdP 그룹에 역할 매핑을 적용합니다.

자세히 알아보려면 매개변수를 참조하세요.

참고

spec.roleMappings.roleAssignments 매개 변수에는 현재 조직 또는 조직의 프로젝트 내 조직 역할이 하나 이상 포함되어야 합니다.

예시:

cat <<EOF | kubectl apply -f -
apiVersion: atlas.mongodb.com/v1
kind: AtlasFederatedAuth
metadata:
  name: atlas-default-federated-auth
  namespace: mongodb-atlas-system
spec:
  enabled: true
  dataAccessIdentityProviders:
    - 32b6e34b3d91647abb20e7b8
    - 42d8v92k5a34184rnv93f0c1
  connectionSecretRef:
    name: my-org-secret
    namespace: mongodb-atlas-system
  domainAllowList:
    - my-org-domain.com
  domainRestrictionEnabled: true
  ssoDebugEnabled: false
  postAuthRoleGrants:
    - ORG_MEMBER
  roleMappings:
    - externalGroupName: org-admin
      roleAssignments:
        - role: ORG_OWNER
    - externalGroupName: dev-team
      roleAssignments:
        - role: ORG_GROUP_CREATOR
        - projectName: dev-project
          role: GROUP_OWNER
EOF

업데이트 프로세스의 상태를 확인하려면 다음 명령을 실행합니다.

kubectl get atlasfederatedauth -o yaml

Atlas Kubernetes Operator는 사용자 지정 리소스를 반환하며 다음 예시와 유사한 상태 섹션을 포함합니다.

status:
  conditions:
    - type: Ready
      status: True
    - type: RolesReady
      status: True
    - type: UsersReady
      status: True

이 리소스에 사용할 수 있는 매개 변수에 대해 알아보려면 AtlasFederatedAuth 사용자 지정 리소스를 참조하세요.

돌아가기

데이터 암호화

팀