Okta LDAP 인터페이스로 사용자 인증 및 권한 부여 구성

Okta LDAP 인터페이스를 설정합니다.

1. Okta LDAP 인터페이스 설정에 대한 자세한 내용은 Okta 설명서를 참조하세요.

2. <okta-instance-id> 을 기록합니다. 구성 프로세스 중 여러 위치에서 이 정보를 제공해야 합니다.

   인스턴스 이름은 Okta 계정에 로그인할 때 사용하는 URL에 있습니다.

   https://<okta-instance-id>.admin.okta.com

바인드 사용자를 생성합니다.

1. 새 Okta 사용자 생성 Atlas 바인드 사용자로 사용합니다. 바인드 사용자는 계정을 쿼리하고 데이터베이스 사용자가 Atlas 데이터베이스에 연결할 때 데이터베이스 사용자의 자격 증명을 인증하는 데 사용하는 Okta 사용자입니다.

   중요

   바인드 사용자에 대해 자신의 사용자 계정을 사용하지 마세요.

2. 다음 템플릿을 사용하여 바인드 사용자의 전체 고유 이름(DN)을 결정합니다.

   uid=<bind-user-email>,dc=<okta-instance-id>,dc=okta,dc=com

   예를 들어 <bind-user-email> 가 bind@example.com 이고 <okta-instance-id> 가 mdb-example 인 경우 바인드 사용자의 DN은 다음과 같습니다.

   uid=bind@example.com,ou=users,dc=mdb-example,dc=okta,dc=com

Okta에서 데이터베이스 사용자를 생성합니다.

아직 존재하지 않는 경우 데이터베이스 액세스 권한을 부여하려는 사용자를 Okta에서 생성합니다.

1. Okta 피플 페이지로 이동합니다.

2. Add Person를 클릭합니다.

3. 사용자의 세부 정보를 입력합니다. 사용자 이름에 이메일 주소를 사용합니다.

   참고

   더하기 기호(+)가 포함된 이메일 주소는 입력하지 마세요. Atlas LDAP 통합 시 더하기 기호가 포함된 이메일 주소와 관련하여 문제가 발생할 수 있습니다.

4. Save를 클릭합니다.

AtlasGo Atlas 에서 프로젝트 의 Advanced 페이지로 고 (Go) 합니다.

1. 아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.

2. 아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.

3. 사이드바에서 Security 제목 아래의 Advanced를 클릭합니다.

   고급 페이지가 표시됩니다.

LDAP Authentication 옆에 있는 버튼을 On으로 전환합니다.

Configure Your LDAP Server 패널에 서버 세부 정보를 입력하고 모든 LDAP 서버에 대한 자격 증명을 바인딩합니다.

여러 서버를 쉼표로 구분하여 나열할 수 있습니다. 다른 포트는 사용할 수 없습니다.

DN 매핑에 사용자 추가.

다음 예시와 유사한 사용자-고유 이름 매핑을 추가하면 클라이언트가 Atlas 데이터베이스에 연결할 때 전체 고유 이름 대신 이메일 주소를 제공할 수 있습니다.

[
   {
       "match": "(.+)",
       "substitution": "uid={0},ou=users,dc=<okta_instance_id>,dc=okta,dc=com"
   }
]

CA Root Certificate 필드에 LDAP 서버용 인증 기관(CA)에서 발급한 인증서를 쉼표로 구분하여 입력합니다.

자체 서명된 인증서를 제공할 수 있습니다.

Verify and Save를 클릭합니다.

Atlas에서 변경 사항을 배포할 때까지 기다립니다. Atlas는 제공한 구성 세부 정보를 사용하여 클러스터가 LDAP 서버로 연결, 인증, 쿼리할 수 있음을 확인합니다.

AtlasGo Atlas 에서 프로젝트 의 Database Access 페이지로 고 (Go) 합니다.

1. 아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.

2. 아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.

3. 사이드바에서 Security 제목 아래의 Database Access를 클릭합니다.

   데이터베이스 액세스 페이지가 표시됩니다.

LDAP 사용자를 Atlas에 추가합니다.

Okta LDAP 에서 managed 사용자를 Atlas에 추가합니다.

1. 딸깍 하는 소리 Add New Database User.

2. LDAP User를 클릭합니다.

3. 다음 중 하나를 수행합니다:

   1. User to DN Mapping을 입력하지 않은 경우 LDAP 사용자의 전체 DN을 입력합니다. 다음 템플릿을 따릅니다.

      uid=<user-name>,ou=users,dc=<okta-instance-id>,dc=okta,dc=com

      예를 들어 <user-name>이(가) jane@example.com이고 <okta-instance-id>이(가)mdb-example인 경우 사용자의 DN은 다음과 같습니다.

      uid=jane@example.com,ou=users,dc=mdb-example,dc=okta,dc=com

   2. User to DN Mapping 을 입력한 경우 매핑에 필요한 사용자 이름 또는 이메일 주소를 입력합니다.

4. 사용자에게 부여할 데이터베이스 액세스 수준을 선택합니다.

5. Add User를 클릭합니다.

Okta 데이터베이스 액세스 그룹을 생성합니다.

Atlas LDAP 권한 부여는 LDAP 그룹을 사용하여 사용자가 데이터베이스 작업을 수행할 수 있는 권한이 있는지 여부를 결정합니다.

사용자에게 부여하려는 각 액세스 수준에 대해 별도의 Okta 그룹을 생성합니다. 예를 들어 한 데이터베이스에 대한 읽기 액세스용 그룹 하나와 읽기 및 쓰기 액세스용 그룹 하나 등을 생성할 수 있습니다.

1. Directory 을 클릭한 다음 Groups 을 클릭하여 Okta Groups 페이지로 이동합니다.

2. Add Group를 클릭합니다.

3. 그룹 이름을 입력합니다(예: db-read.

4. Add Group를 클릭합니다.

데이터베이스 액세스 그룹에 Okta 사용자를 추가합니다.

각 사용자에게 필요한 액세스 수준에 따라 사용자를 그룹에 할당합니다.

1. 사용자를 추가하려는 그룹을 클릭합니다.

2. Manage People를 클릭합니다.

3. 그룹에 사용자를 추가한 다음 Save 을(를) 클릭합니다.

바인드 사용자에게 권한을 할당합니다.

바인드 사용자는 특정 Okta 그룹에 대해 사용자에게 권한을 부여하고 LDAP 검색을 수행하려면 Read Only Administrator 권한이 있어야 합니다. 바인드 사용자 Read Only Administrator 권한을 할당하려면 다음을 수행합니다.

1. Security 을 클릭한 다음 Administrators 을 클릭하여 Okta Administrators 페이지로 이동합니다.

2. Add Administrator를 클릭합니다.

3. 바인드 사용자를 검색한 다음 Read Only Administrator 역할을 선택합니다.

4. Add Administrator를 클릭합니다.

AtlasGo Atlas 에서 프로젝트 의 Database Access 페이지로 고 (Go) 합니다.

1. 아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.

2. 아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.

3. 사이드바에서 Security 제목 아래의 Database Access를 클릭합니다.

   데이터베이스 액세스 페이지가 표시됩니다.

데이터베이스 액세스 LDAP 그룹을 Atlas에 추가합니다.

생성한 각 Okta 데이터베이스 그룹을 Atlas에 추가합니다. 추가한 그룹의 구성원은 그룹에 부여된 데이터베이스 조치를 수행할 수 있는 권한이 있습니다.

1. 딸깍 하는 소리 Add New Database User.

1. LDAP Group을 클릭한 다음 User to DN Mapping을 활성화한 경우에도 데이터베이스 사용자가 포함된 그룹의 전체 DN을 입력합니다 . 다음 템플릿을 따릅니다.

   cn=<group-name>,ou=groups,dc=<okta-instance-id>,dc=okta,dc=com

   예를 들어 <group-name> 가 db-read 이고 <okta-instance-id> 가 mdb-example 인 경우 바인드 사용자의 DN은 다음과 같습니다.

   cn=db-read,ou=groups,dc=mdb-example,dc=okta,dc=com

1. 이 그룹의 사용자에게 부여할 데이터베이스 액세스 수준을 선택합니다.

2. Add User를 클릭합니다.

AtlasGo Atlas 에서 프로젝트 의 Advanced 페이지로 고 (Go) 합니다.

1. 아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.

2. 아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.

3. 사이드바에서 Security 제목 아래의 Advanced를 클릭합니다.

   고급 페이지가 표시됩니다.

LDAP Authorization 옆에 있는 버튼을 On으로 전환합니다.

Configure Your LDAP Server 패널에서 LDAP 서버에 대한 서버 세부 정보 및 바인딩 자격 증명이 올바른지 확인합니다.

Query Template에 쿼리 템플릿을 입력합니다.

사용자가 작업을 수행하려고 하면 Atlas는 LDAP 쿼리 템플릿을 실행하여 인증된 사용자가 속한 LDAP 그룹을 가져옵니다. Atlas는 쿼리가 작업을 수행할 권한이 있는 그룹을 하나 이상 반환하는 경우 작업을 허용합니다. 쿼리에서 작업을 수행할 권한이 있는 그룹을 반환하지 않는 경우 Atlas는 작업을 허용하지 않습니다.

Atlas는 쿼리를 실행할 때 {USER} 자리 표시자에서 인증된 사용자 이름을 대체합니다. 쿼리는 Server Hostname에 지정된 호스트에 상대적입니다.

쿼리 형식은 RFC4515 을 준수해야 합니다.

사용자가 속한 그룹을 식별하려면 다음 Query Template 을 사용할 수 있습니다.

ou=groups,dc=<okta-instance-id>,dc=okta,dc=com?dn?sub?(&(objectClass=groupofUniqueNames)(uniqueMember={USER}))

Verify and Save를 클릭합니다.

Atlas에서 변경 사항을 배포할 때까지 기다립니다. Atlas는 제공한 구성 세부 정보를 사용하여 클러스터가 LDAP 서버로 연결, 인증, 쿼리할 수 있음을 확인합니다.