OIDC/OAuth2 를 사용하여 사용자 인증 및 권한 부여를 설정합니다.0
이 페이지의 내용
OIDC 를 지원하는 자체 ID 제공자를 통해 직원과 애플리케이션 모두에 대해 Atlas에 대한 액세스를 인증하고 권한을 부여할 수 있습니다. Workforce Identity Federation으로 사용자 액세스를 구성하고 Workload Identity Federation으로 애플리케이션 액세스를 구성할 수 있습니다. OIDC 액세스 옵션 비교는 다음 표를 참조하세요.
인증 방법 | 사용자 유형 | 액세스 유형 | 지원되는 프로토콜 |
|---|---|---|---|
Workforce Identity Federation | 인간 사용자 | Atlas UI 액세스, 데이터베이스 액세스 | OIDC, SAML |
Workload Identity Federation | 프로그래매틱 사용자 | 데이터베이스 액세스 | OAuth2.0 |
인증 방법을 선택하여 자세히 알아보세요.
필요한 액세스 권한
OIDC 구성을 관리하려면 Atlas에 대한 Organization Owner 액세스 권한이 있어야 합니다.
전제 조건
Atlas에서 OIDC를 사용하여 사용자 인증 및 권한 부여를 관리하려면 하나 이상의 도메인을 ID 제공자에 매핑해야 합니다.
절차
중요
두 단계로 Workforce ID Federation(직원 ID 페더레이션)을 구성합니다.IdP를 Atlas에 연결하려면 다음이 필요합니다.
IdP를 구성하고 해당 메타데이터를 저장합니다.
IdP의 메타데이터를 Atlas로 설정합니다.
사용자 또는 사용자 그룹 인증
Workload Identity Federation 및 Workforce Identity Federation 모두 동일한 권한을 가질 사용자 그룹 또는 단일 사용자에 대해 권한을 부여할 수 있습니다.
동일한 권한을 가진 여러 사용자에 대한 OIDC 항목을 생성하려면 다음 단계를 완료하세요.
Group Membership 을(를) 선택합니다.
Configure Identity Provider 흐름에서 Group Membership 옵션을 선택합니다.
Group Claim 및 User Claim 을(를) 업데이트합니다.
외부에서 구성된 OIDC 제공자와 일치하도록 필요에 따라 Group Claim 및 User Claim 기본값인 group 및 sub 를 각각 업데이트합니다.
단일 사용자에 대한 OIDC 항목을 생성하려면 다음 단계를 완료하세요.
User ID을 선택합니다.
Configure Identity Provider 흐름에서 User ID 옵션을 선택합니다.
User Claim을 업데이트합니다.
외부에서 구성된 OIDC 제공자와 일치하도록 필요에 따라 User Claim 기본값인 sub 을 업데이트합니다.
외부 ID 공급자 애플리케이션 구성
OIDC 를 사용하여 Workforce Identity Federation을 구성하려면 먼저 Microsoft Entra ID, Okta 또는 Ping Identity와 같은 OIDC 표준을 지원하는 IdP 에 OIDC 또는 OAuth 애플리케이션을 등록해야 합니다.
다음 권한 부여 유형에 대해 OIDC 애플리케이션을 구성합니다.
PKCE를 사용한 권한 부여 코드 흐름 및/또는
기기 인증 흐름.
MongoDB는 더 나은 보안 태세를 위해 PKCE와 함께 Authorization Code Flow(권한 부여 코드 흐름)을 사용할 것을 권장합니다. 사용자가 브라우저 없이 컴퓨터에서 데이터베이스에 액세스해야 하는 경우에만 Device Authorization Flow(장치 권한 부여 흐름)를 사용하세요.
OIDC 애플리케이션 등록 단계는 IdP에 따라 달라질 수 있습니다.등록 프로세스를 진행하며 다음 항목을 완료하도록 하세요.
Atlas에 새 애플리케이션을 등록합니다.
클라이언트 유형으로 public client/native application 을 선택해야 합니다.
Redirect URL 값을 http://localhost:27097/redirect로 설정합니다.
groups 클레임을 추가하거나 활성화합니다.
이렇게 하면 액세스 토큰에 인증하는 사용자의 그룹 멤버십 정보가 포함됩니다. MongoDB는 권한 부여를 위해 그룹 클레임으로 전송된 값을 사용합니다.
(선택 사항) MongoDB 클라이언트가 더 나은 사용자 경험을 위해 토큰을 새로 고침하도록 하려면 refresh tokens(새로 고침 토큰)를 허용하세요.
(선택 사항) 액세스 토큰 수명(exp 클레임)을 데이터베이스 연결 세션 시간과 일치하도록 구성합니다.
애플리케이션을 등록한 후에는 Atlas OIDC IdP 구성의 다음 단계에서 사용할 issuer, clientId 및 audience 값을 저장합니다.
Microsoft Entra ID를 ID 제공자로 구성
Microsoft Entra ID를 사용하여 OIDC 또는 OAuth 애플리케이션을 등록하려면 다음을 수행합니다.
애플리케이션을 등록합니다.
App registrations로 이동합니다.
Azure Portal 에서 계정을 Microsoft Entra ID검색하고 를 클릭합니다.
좌측 탐색의 Manage 섹션에서 App registrations을 클릭합니다.
New registration 를 클릭합니다.
다음 값을 적용합니다.
필드 | 값 |
|---|---|
Name | Atlas Database - OIDC |
Supported Account Types | Accounts in this organizational directory only (single tenant) |
Redirect URI | - Public client/native (mobile & desktop) - http://localhost:27097/redirect |
Register 를 클릭합니다.
애플리케이션 등록에 대해 자세히 알아보려면 Azure 설명서를 참조하세요.
그룹 클레임을 추가합니다.
Token Configuration로 이동합니다.
좌측 탐색의 Manage 섹션에서 Token Configuration을 클릭합니다.
Add groups claim 를 클릭합니다.
Edit groups claim 모달에서 Security를 선택합니다.
선택하는 그룹은 Azure 환경에서 구성한 그룹 유형에 따라 다릅니다. 적절한 그룹 정보를 전송하려면 다른 그룹 유형을 선택해야 할 수도 있습니다.
Customize token properties by type 섹션에서 Group ID만 선택했는지 확인합니다.
Group Id를 선택하면 Azure에서 보안 그룹의 객체 ID를 보냅니다.
Add 를 클릭합니다.
그룹 클레임 추가에 대해자세히 알아보려면 Azure 설명서를 참조하세요.
액세스 토큰에 사용자 식별자 클레임을 추가합니다.
Add optional claim 를 클릭합니다.
Add optional claim 모달에서 Access를 선택합니다.
이메일과 같은 MongoDB 액세스 로그에서 참조할 수 있는 사용자 식별자가 포함된 클레임을 선택합니다.
Add 를 클릭합니다.
Microsoft Graph Permissions 노트에서 확인란을 선택하고 Add를 클릭합니다.
매니페스트를 업데이트합니다.
좌측 탐색의 Manage 섹션에서 Manifest을 클릭합니다.
accessTokenAcceptedVersion을 null에서 2로 업데이트합니다.
숫자 2는 Microsoft의 액세스 토큰 버전 2를 나타냅니다. 다른 애플리케이션에서는 이를 Active Directory에서 관리하는 사용자 ID의 서명된 증명으로 사용합니다. 버전 2는 토큰이 MongoDB가 이해할 수 있는 JSON 웹 토큰인지 확인합니다.
Save 를 클릭합니다.
선택적 클레임을 추가하는 방법에 대해 자세히 알아보려면 Azure 설명서를 참조하세요.
메타데이터를 기억하세요.
왼쪽 탐색에서 Overview를 클릭합니다.
Application (client) ID 값을 복사합니다.
상단 탐색에서 Endpoints를 클릭합니다.
/.well-known/openid-configuration 부분을 제외한 OpenID Connect metadata document 값을 복사합니다.
OpenID Connect metadata document URL을 따라가서 issuer의 값을 복사하여 이 값을 검색할 수도 있습니다.
다음 표는 Atlas 구성 속성에서 이러한 Microsoft Entra ID UI 값이 매핑하는 것을 보여 줍니다.
Microsoft Entra ID UI | Atlas 구성 속성 |
|---|---|
Application (client) ID | Client ID Audience |
OpenID Connect metadata document (without /.well-known/openid-configuration) | Issuer URI. |
OIDC 구성 삭제
OIDC 구성을 삭제하려면 다음을 수행해야 합니다.
OIDC ID 제공자에 연결한 각 조직의 연결을 해제합니다.
관리 콘솔을 엽니다.
조직의 Settings 페이지로 이동합니다.
아직 표시되지 않은 경우, 목록에서 원하는 조직을 선택하세요. 탐색 표시줄의 Organizations 메뉴.
1} 메뉴 옆에 있는 아이콘을 클릭합니다.Organization Settings Organizations
페더레이션 관리 앱으로 이동합니다.
0}Setup Federated Login 또는 Manage Federation Settings 섹션에서 를 Visit Federation Management App 클릭합니다.
왼쪽 탐색 모음에서 Organizations을 클릭합니다.
OIDC 를 활성화한 조직을 클릭합니다.
OIDC 카드에서 Disconnect 를 클릭합니다.
Disconnect identity provider? 모달에서 Disconnect를 클릭합니다.
IdP의 연결을 끊으면 IdP를 사용하여 인증하는 사용자는 Project 표에 나열된 Atlas 프로젝트의 OIDC에 대한 액세스 권한을 잃게 됩니다.
왼쪽 탐색에서 Identity Providers를 클릭합니다.
OIDC 카드에서 Delete를 클릭합니다.
Delete Identity Provider? 모달에서 Delete를 클릭합니다.
JWKS 해지
참고
이 기능을 사용하여 서명 키를 순환하지 마세요. OIDC ID 제공자 서명 키를 순환하면 기존 액세스 토큰이 만료될 때 MongoDB가 자동으로 JWKS를 가져옵니다.
개인키가 손상된 경우 MongoDB 노드에 캐시된 JSON 웹 키 세트(JWKS)를 즉시 취소할 수 있습니다.
OIDC ID 제공자에서 서명 키를 업데이트합니다.
관리 콘솔을 엽니다.
조직의 Settings 페이지로 이동합니다.
아직 표시되지 않은 경우, 목록에서 원하는 조직을 선택하세요. 탐색 표시줄의 Organizations 메뉴.
1} 메뉴 옆에 있는 아이콘을 클릭합니다.Organization Settings Organizations
페더레이션 관리 앱으로 이동합니다.
0}Setup Federated Login 또는 Manage Federation Settings 섹션에서 를 Visit Federation Management App 클릭합니다.
왼쪽 탐색 모음에서 Identity Providers을 클릭합니다.
OIDC 카드로 스크롤합니다.
Revoke 버튼을 클릭합니다.
Revoke를 클릭하면 MongoDB가 JWKS 엔드포인트를 통해 새 키를 불러옵니다. JWKS를 해지한 후에는 클라이언트(예: MongoDB 셸 또는 Compass)를 다시 시작해야 합니다.