OIDC로 Workforce Identity Federation 설정하기

Atlas에 새 애플리케이션을 등록합니다.

클라이언트 유형으로 public client/native application 를 선택합니다.

Redirect URL 값을 로 http://localhost:27097/redirect 설정합니다.

(조건부) 그룹으로 인증하는 경우 클레임을 추가하거나 groups 활성화 합니다.

그룹의 경우 이 단계에서는 액세스 토큰에 인증하는 사용자의 그룹 멤버십 정보가 포함되어 있는지 확인합니다. MongoDB는 권한 부여를 위해 그룹 클레임으로 전송된 값을 사용합니다.

(선택 사항) MongoDB 클라이언트가 더 나은 사용자 경험을 위해 토큰을 새로 고침하도록 하려면 refresh tokens(새로 고침 토큰)를 허용하세요.

(선택 사항) 데이터베이스 연결 세션 시간에 맞게 액세스 토큰 수명(exp 클레임)을 구성합니다.

애플리케이션을 등록합니다.

1. App registrations(으)로 이동합니다.

   1. Azure Portal 에서 계정을 검색 하고 를 Microsoft Entra ID 클릭합니다.

   2. 좌측 탐색의 Manage 섹션에서 App registrations을 클릭합니다.

2. New registration를 클릭합니다.

3. 다음 값을 적용합니다.

   필드	값
   Name	Atlas Database - Workforce
   Supported Account Types	Accounts in this organizational directory only (single tenant)
   Redirect URI	- Public client/native (mobile & desktop) - http://localhost:27097/redirect

4. Register를 클릭합니다.

애플리케이션 등록에 대해 자세히 알아보려면 Azure 설명서를 참조하세요.

그룹 클레임을 추가합니다.

1. Token Configuration(으)로 이동합니다.

   좌측 탐색의 Manage 섹션에서 Token Configuration을 클릭합니다.

2. Add groups claim를 클릭합니다.

3. Edit groups claim 0} 모달에서 을 Security 선택합니다.

   선택하는 그룹은 Azure 환경에서 구성한 그룹 유형에 따라 다릅니다. 적절한 그룹 정보를 전송하려면 다른 그룹 유형을 선택해야 할 수도 있습니다.

4. Customize token properties by type 섹션에서 Group ID 만 선택합니다.

5. Add를 클릭합니다.

그룹 클레임 추가에 대해자세히 알아보려면 Azure 설명서를 참조하세요.

액세스 토큰에 사용자 식별자 클레임을 추가합니다.

1. Add optional claim를 클릭합니다.

2. Add optional claim 0} 모달에서 을 Access 선택합니다.

3. 이메일과 같은 MongoDB 액세스 로그에서 참조할 수 있는 사용자 식별자가 포함된 클레임을 선택합니다.

   UPN 클레임을 사용하여 이메일 주소 로 사용자를 식별할 수 있습니다.

4. Add를 클릭합니다.

5. Microsoft Graph Permissions 노트에서 확인란을 선택하고 Add를 클릭합니다.

자세한 내용은 Azure 설명서를 참조하세요.

매니페스트를 업데이트합니다.

1. 좌측 탐색의 Manage 섹션에서 Manifest을 클릭합니다.

2. 0}을 accessTokenAcceptedVersion null 에서 2 로 업데이트합니다.

   숫자 2는 Microsoft의 액세스 토큰 버전 2를 나타냅니다. 다른 애플리케이션에서는 이를 Active Directory에서 관리하는 사용자 ID의 서명된 증명으로 사용합니다. 버전 2는 토큰이 MongoDB가 이해할 수 있는 JSON Web Token인지 확인합니다.

3. Save를 클릭합니다.

선택적 클레임을 추가하는 방법에 대해 자세히 알아보려면 Azure 설명서를 참조하세요.

메타데이터를 기억하세요.

1. 왼쪽 탐색에서 Overview을 클릭합니다.

   Application (client) ID 값을 복사합니다.

2. 상단 탐색에서 Endpoints을 클릭합니다.

   /.well-known/openid-configuration 부분을 제외한 OpenID Connect metadata document 값을 복사합니다.

   OpenID Connect metadata document URL 에서 issuer 값을 복사하여 이 값을 가져올 수도 있습니다.

다음 표는 Atlas 구성 속성에서 이러한 Microsoft Entra ID UI 값이 매핑하는 것을 보여 줍니다.

Federation Management Console(페더레이션 관리 콘솔)로 고 (Go) 합니다.

1. 조직 설정으로 이동합니다.

2. Open Federation Management App 을(를) 클릭합니다.

도메인 소유권을 추가하고 확인합니다.

IdP 에 등록하는 도메인의 소유권을 확인해야 합니다. 이미 Atlas 에 SAML SSO에 도메인을 등록한 경우 이 단계를 건너뛸 수 있습니다.

1. 왼쪽 사이드바에서 Domains(도메인)를 선택합니다.

2. Add Domain 버튼을 클릭합니다.

3. Display Name 상자에 표시 이름을 입력합니다.

4. Domain Name 상자에 도메인 이름을 입력합니다.

5. HTML File Upload 또는 DNS Record 버튼을 클릭하여 도메인의 소유자임을 확인하는 데 사용할 방법을 선택합니다.

6. HTML File Upload 을(를) 선택한 경우 제공된 HTML 파일을 다운로드하여 도메인에 업로드하여 https://<your-domain/mongodb-site-verification.html> 에서 액세스할 수 있습니다.

7. DNS Record 을(를) 선택한 경우 제공된 TXT Record 을(를) 복사하여 도메인 제공자에 업로드합니다.

8. Continue를 클릭합니다.

9. 마지막으로 Domains 페이지에서 새로 추가된 도메인의 Verify 버튼을 클릭합니다.

식별 제공자를 구성합니다.

1. 왼쪽 사이드바에서 Identity Providers 을(를) 클릭합니다.

2. 다음 단계 중 하나를 수행합니다.

   • 아직 구성한 ID 공급자가 없는 경우 Setup Identity Provider을 클릭합니다.

   • 그렇지 않으면 Identity Providers 화면에서 Configure Identity Provider(s) 을 클릭합니다.

3. Workforce Identity Provider Continue0}을 선택하고 을 클릭합니다.

4. OIDC for Data Access0}을 선택합니다.

다음 Workforce Identity Provider Protocol Settings(직원 ID 제공자 프로토콜 설정)를 입력합니다.

Save and Finish를 클릭합니다.

하나 이상의 도메인을 Workforce IdP 에 연결합니다.

1. Workforce Identity Provider(직원 ID 제공자) 카드에서 Associate Domains 을(를) 클릭합니다.

2. Associate Domains with Identity Provider 모달에서 하나 이상의 도메인을 선택합니다.

3. Submit를 클릭합니다.

조직 에서 인력 ID 제공자를 활성화합니다.

1. Connect Organizations를 클릭합니다.

2. Workforce Identity Provider에 연결하려는 조직 에 대해 Configure Access 을(를) 클릭합니다.

3. Connect Identity Provider를 클릭합니다.

   참고

   다른 IdP를 구성한 경우 이 버튼에 Connect Identity Provider(s)라고 표시됩니다.

Workforce Identity Federation for Data Access를 선택합니다.

Connect Identity Provider(s) 모달에서 Purpose 이 Workforce Identity Federation 인 Workforce Identity Provider 를 선택합니다.

Connect를 클릭합니다.

Workforce Identity Provider를 조직 에 연결하면 Atlas 는 해당 조직 내의 모든 프로젝트에 대해 Workforce Identity Provider를 활성화합니다.

AtlasGo Atlas 에서 프로젝트 의 Database Access 페이지로 고 (Go) 합니다.

1. 아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.

2. 아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.

3. 사이드바에서 Security 제목 아래의 Database Access를 클릭합니다.

   데이터베이스 액세스 페이지가 표시됩니다.

Add New Database User or Group 대화 상자를 엽니다.

딸깍 하는 소리 Add New Database User or Group.

Federated Auth를 선택합니다.

Authentication Method 섹션에서 Federated Auth를 선택합니다.

ID 제공자 및 식별자 선택

a. Select Identity Provider 섹션에서 구성된 OIDC ID 제공자를 선택합니다.

1. 구성된 Workforce 자격 증명 공급자와 관련된 사용자 식별자 또는 그룹 식별자를 지정합니다.

사용자 또는 그룹 권한을 할당합니다.

새 사용자 또는 그룹에 권한을 할당하려면 다음 작업 중 하나 이상을 수행합니다.

• Built-in Role 드롭다운 메뉴에서 내장 역할을 선택합니다.

  • Atlas UI에서 데이터베이스 그룹당 하나의 기본 제공 역할을 선택할 수 있습니다.

  • 기본 옵션을 삭제하는 경우 Add Built-in Role 을 클릭하여 새 기본 제공 역할을 선택할 수 있습니다.

• 사용자 지정 역할을 선택하거나 추가합니다.

  • 사용자 지정 역할을 정의한 경우 Custom Roles 섹션을 확장하고 Custom Roles 드롭다운 메뉴에서 하나 이상의 역할을 선택할 수 있습니다.

  • 사용자 지정 역할을 더 추가하려면 Add Custom Role 를 클릭합니다.

  • Custom Roles 링크를 클릭하면 프로젝트의 사용자 지정 역할을 볼 수 있습니다.

• 권한을 추가합니다.

  • Specific Privileges 섹션을 확장하고 Specific Privileges 드롭다운 메뉴에서 하나 이상의 권한을 선택합니다.

  • 더 많은 권한을 추가하려면 Add Specific Privilege 을 클릭합니다. 이렇게 하면 개별 데이터베이스 및 컬렉션에 대한 특정 권한이 그룹에 할당됩니다.

• 적용된 역할 또는 권한을 제거합니다.

  • 클릭 Delete 옆에

    역할 또는 권한을 삭제합니다.

  참고

  Atlas는 하나의 옵션만 선택한 경우 Built-in Role, Custom Role 또는 Specific Privilege 선택 항목 옆에 Delete 아이콘을 표시하지 않습니다. 다른 역할이나 권한을 적용한 후에는 선택한 역할이나 권한을 삭제할 수 있습니다.

Atlas는 내장 역할, 여러 사용자 지정 역할, 여러 특정 권한을 데이터베이스 그룹에 적용할 수 있습니다.

권한 부여에 대해 자세히 알아보려면 MongoDB 매뉴얼 에서 역할 기반 액세스 제어 및 기본 제공 역할을 참조하세요.

사용자 또는 그룹이 액세스할 수 있는 프로젝트의 리소스를 지정합니다.

기본적으로 그룹은 프로젝트의 모든 클러스터 및 연합 데이터베이스 인스턴스에 액세스할 수 있습니다. 특정 클러스터 및 연합 데이터베이스 인스턴스에 대한 액세스를 제한하려면 다음을 수행합니다.

1. Restrict Access to Specific Clusters/Federated Database Instances 를 On로 전환합니다.

2. Grant Access To 목록에서 그룹 액세스 권한을 부여할 클러스터 및 연합 데이터베이스 인스턴스를 선택합니다.

임시 사용자 또는 그룹으로 저장합니다.

Temporary User 또는 Temporary Group 를 On 로 전환하고 Atlas가 Temporary User Duration 또는 Temporary Group Duration 드롭다운에서 사용자 또는 그룹을 삭제할 수 있는 시간을 선택합니다. 그룹이 존재하는 기간에 대해 다음 중 하나를 선택할 수 있습니다.

• 6시간

• 1일

• 1주

Database Users 탭에서 임시 사용자 또는 그룹은 Atlas가 사용자 또는 그룹을 삭제할 때까지 남은 시간을 표시합니다. Atlas가 사용자 또는 그룹을 삭제하면 임시 사용자 또는 그룹의 자격 증명을 사용하는 모든 클라이언트 또는 애플리케이션은 클러스터에 대한 액세스 권한을 잃게 됩니다.

새 데이터베이스 사용자 또는 그룹을 추가합니다.

다음 단계 중 하나를 수행합니다.

• 사용자를 추가한 경우 Add User 버튼을 클릭합니다.

• 그룹을 추가한 경우 Add Group 버튼을 클릭합니다.

Workforce ID 제공자 에서 서명 키를 업데이트합니다.

Atlas에서 Organization Settings 페이지로 이동합니다.

1. 아직 표시되지 않은 경우 다음 목록에서 원하는 조직 을 선택하세요. 탐색 표시줄의 Organizations 메뉴.

2. 1} 메뉴 옆에 있는 아이콘을 클릭합니다.Organization Settings Organizations

   조직 설정 페이지가 표시됩니다.

페더레이션 관리 앱으로 이동합니다.

0}Setup Federated Login 또는 Manage Federation Settings 섹션에서 를 Visit Federation Management App 클릭합니다.

Identity Providers 왼쪽 사이드바에서 을(를) 클릭합니다.

Workforce Identity Provider(직원 ID 제공자) 카드로 스크롤합니다.

Revoke 버튼을 클릭합니다.

Revoke 를 클릭하면 MongoDB는 JWKS 엔드포인트를 통해 새 키를 가져옵니다. JWKS를 해지한 후에는 클라이언트(예: mongosh 또는 Compass)를 다시 시작해야 합니다.

Atlas에서 Organization Settings 페이지로 이동합니다.

1. 아직 표시되지 않은 경우 다음 목록에서 원하는 조직 을 선택하세요. 탐색 표시줄의 Organizations 메뉴.

2. 1} 메뉴 옆에 있는 아이콘을 클릭합니다.Organization Settings Organizations

   조직 설정 페이지가 표시됩니다.

페더레이션 관리 앱으로 이동합니다.

0}Setup Federated Login 또는 Manage Federation Settings 섹션에서 를 Visit Federation Management App 클릭합니다.

Workforce Identity Provider에 연결한 각 조직 의 연결을 해제합니다.

1. 왼쪽 사이드바에서 Organizations 을(를) 클릭합니다.

2. Workforce Identity Federation(직원 ID 페더레이션)이 활성화된 조직 을 클릭합니다.

3. Workforce Identity Federation 카드의 Manage 드롭다운에서 Disconnect 을(를) 클릭합니다.

4. Disconnect identity provider? 모달에서 Disconnect를 클릭합니다.

   IdP 연결을 끊으면 IdP 를 사용하여 인증하는 사용자는 표에 나열된 Atlas 프로젝트의 Workforce Identity Federation에 액세스 을 잃게 Project 됩니다.

Identity Providers 왼쪽 사이드바에서 을(를) 클릭합니다.

Workforce Identity Provider(직원 ID 제공자) 카드에서 Delete 을(를) 클릭합니다.

Delete Identity Provider? 모달에서 Delete를 클릭합니다.