Microsoft Entra ID에서 연합 인증 구성
이 페이지의 내용
- Cloud Manager 에 대한 프로그래밍 방식의 액세스 를 위한 OAuth 2.0 인증 은 Preview 기능 으로 제공됩니다.
- 기능 및 해당 설명서는 미리 보기 기간에 언제든지 변경될 수 있습니다. OAuth 2.0 인증 을 사용하려면 Cloud Manager 공개 API 에 대한 요청에 사용할서비스 계정을 만듭니다.
이 가이드에서는 Microsoft Entra ID를 IdP로 사용하여 연합 인증을 구성하는 방법을 살펴봅니다.
Microsoft Entra ID와 Cloud Manager를 통합한 후에는 회사의 자격 증명을 사용하여 Cloud Manager 및 기타 MongoDB cloud 서비스에 로그인할 수 있습니다.
제한 사항
Cloud Manager는 데이터베이스 사용자를 위한 싱글 사인온 통합을 지원하지 않습니다.
전제 조건
Microsoft Entra ID를 Cloud Manager의 IdP 로 사용하려면 다음이 필요합니다.
Azure 구독. 구독을 얻으려면 Microsoft Azure 포털을 방문하세요.
구독과 연결된 Microsoft Entra ID 테넌트. Microsoft Entra ID 테넌트 설정에 대한 자세한 내용은 Microsoft Entra ID 설명서를 참조하세요.
Global Administrator
: Microsoft Entra ID 테넌트 내 권한.라우팅 가능한 사용자 지정 도메인 이름.
절차
도메인 사용자 추가
아직 하지 않았다면 Azure 콘솔을 사용하여 사용자 지정 도메인 이름을 Microsoft Entra ID에 추가하고 사용자를 다음과 같이 생성하세요.
Microsoft Entra ID에 사용자 지정 도메인 추가
사용자 지정 도메인 이름을 Microsoft Entra ID에 추가하여 도메인에 속한 사용자를 생성할 수 있습니다. 도메인을 추가한 후에는 DNS 제공자의 TXT
레코드에 Microsoft Entra ID DNS 정보도 추가하고 구성을 확인해야 합니다.
Microsoft Entra ID에 사용자 지정 도메인을 추가하려면 Azure 설명서를 참조하세요.
Microsoft Entra ID 사용자를 생성합니다.
아직 존재하지 않는 경우 데이터베이스 액세스 권한을 부여하려는 Microsoft Entra ID에서 사용자를 생성합니다. 사용자는 Microsoft Entra ID에 추가한 사용자 지정 도메인에 속해야 합니다.
Microsoft Entra ID 사용자를 생성하려면 Azure 설명서를 참조하세요.
Microsoft Entra ID를 멱등으로 구성
Azure 콘솔을 사용하여 Microsoft Entra ID를 SAML IdP로 구성합니다. 갤러리에서 MongoDB Cloud 앱을 추가하거나 애플리케이션을 수동으로 구성할 수 있습니다.
갤러리에서 MongoDB Cloud 앱을 추가합니다.
Microsoft Entra ID 테넌트에 MongoDB 클라우드 앱을 추가하려면 Azure 문서를 참조하세요.
애플리케이션에 사용자를 할당합니다.
애플리케이션에 사용자를 할당합니다. 이러한 사용자는 튜토리얼을 완료하면 Cloud Manager 및 기타 MongoDB 클라우드 서비스에 액세스할 수 있게 됩니다.
Microsoft Entra ID 사용자를 애플리케이션에 할당하려면 Azure 설명서를 참조하세요.
싱글 사인온 구성을 시작하려면 SAML 구성 페이지로 이동합니다.
SAML 구성 페이지로 이동하려면 Azure 설명서를 참조하세요.
식별자 및 회신 URL에 임시 값을 설정합니다.
유효한 SAML 서명 인증서를 생성하려면 Microsoft Entra ID 엔터프라이즈 애플리케이션의 Identifier 및 Reply URL에 임시 값을 할당해야 합니다. 이러한 값을 설정하기 전에 인증서를 다운로드한 경우 다운로드한 인증서는 고유하지 않으므로 이 값을 설정한 후 인증서를 다시 다운로드해야 합니다.
임시 값을 설정하려면 다음을 수행합니다.
섹션 1에서 Edit 을(를) 클릭합니다.
기존 기본값을 모두 제거하고 다음과 같은 임시 값을 설정합니다.
설정임시 값Identifier (Entity ID)
https://www.okta.com/saml2/service-provider/MongoDBCloud
Reply URL (Assertion Consumer Service URL).
https://auth.mongodb.com/sso/saml2/
Save를 클릭합니다.
브라우저 페이지를 새로 고침하여 인증서가 다시 생성되었는지 확인합니다.
인증서의 지문 및 만료 날짜는 임시 식별자 및 회신 URL이 처음 업데이트된 후에 기존 값에서 변경됩니다.
선택 사항: SAML 토큰에 그룹 클레임을 추가합니다.
역할 매핑을 사용하지 않을 경우 이 단계를 건너뛰세요.
역할 매핑을 사용하려면 Microsoft Entra ID 가 Cloud Manager 로 전송하는 SAML 토큰에 다음 그룹 클레임을 추가합니다.
Add a group claim을(를) 클릭합니다. Azure에 Group Claims 패널이 표시됩니다.
Which groups associated with the user should be returned in the claim? 에서 Security groups 을 클릭합니다. 선택할 수 있는 그룹은 Azure 환경에서 구성한 그룹 유형에 따라 다릅니다. 적절한 그룹 정보를 전송하려면 다른 유형의 그룹을 선택해야 할 수도 있습니다.
Source attribute 드롭다운에서 Group Id 을(를) 선택합니다. Group Id 을(를) 선택하면 Azure 는 사람이 읽을 수 있는 그룹 이름이 아닌 보안 그룹의 객체 ID 를 전송합니다. Azure 환경에 따라 그룹 이름을 대신 전송하는 다른 소스 속성을 선택할 수 있는 옵션이 있을 수 있습니다. Cloud Manager 에서 역할 매핑을 만들 때 SAML 응답으로 전송된 Azure 그룹 데이터를 구성된 MongoDB Atlas 역할 매핑 이름과 일치시킵니다.
Advanced options 섹션에서 Customize the name of the group claim을(를) 클릭합니다.
memberOf을 Name(으)로 설정합니다.
Namespace 을(를) 비워 둡니다.
Emit groups as role claims을 비웁니다.
Save를 클릭합니다.
갤러리가 아닌 애플리케이션을 Microsoft Entra ID에 추가합니다.
애플리케이션에 MongoDB-Cloud-Manager
와(과) 같이 설명이 포함된 이름을 지정합니다.
갤러리가 아닌 애플리케이션을 Microsoft Entra ID에 추가하려면 Azure 문서를 참조하세요.
애플리케이션에 사용자를 할당합니다.
애플리케이션에 사용자를 할당합니다. 이러한 사용자는 튜토리얼을 완료하면 Cloud Manager 및 기타 MongoDB 클라우드 서비스에 액세스할 수 있게 됩니다.
Microsoft Entra ID 사용자를 애플리케이션에 할당하려면 Azure 설명서를 참조하세요.
싱글 사인온 구성을 시작하려면 SAML 구성 페이지로 이동합니다.
SAML 구성 페이지로 이동하려면 Azure 설명서를 참조하세요.
식별자 및 회신 URL에 임시 값을 설정합니다.
유효한 SAML 서명 인증서를 생성하려면 Microsoft Entra ID 엔터프라이즈 애플리케이션의 Identifier 및 Reply URL에 임시 값을 할당해야 합니다. 이러한 값을 설정하기 전에 인증서를 다운로드한 경우 다운로드한 인증서는 고유하지 않으므로 이 값을 설정한 후 인증서를 다시 다운로드해야 합니다.
임시 값을 설정하려면 다음을 수행합니다.
섹션 1에서 Edit 을(를) 클릭합니다.
기존 기본값을 모두 제거하고 다음과 같은 임시 값을 설정합니다.
설정임시 값Identifier (Entity ID)
https://www.okta.com/saml2/service-provider/MongoDBCloud
Reply URL (Assertion Consumer Service URL).
https://auth.mongodb.com/sso/saml2/
Save를 클릭합니다.
브라우저 페이지를 새로 고침하여 인증서가 다시 생성되었는지 확인합니다.
인증서의 지문 및 만료 날짜는 임시 식별자 및 회신 URL이 처음 업데이트된 후에 기존 값에서 변경됩니다.
Unique User Identifier 필수 클레임을 편집합니다.
다음 값을 사용합니다.
Choose name identifier format:
Unspecified
Source:
Attribute
Source attribute:
user.userprincipalname
참고
Active Directory 구성에 따라 사용하는 소스 속성이 다를 수 있습니다. 사용자의 전체 이메일 주소 가 포함된 소스 속성을 사용합니다.
Unique User Identifier 필수 클레임을 편집하려면 Azure 문서를 참조하세요.
SAML 토큰에 사용자 클레임을 추가합니다.
Microsoft Entra ID 가 Cloud Manager 로 전송하는 SAML 토큰에 다음 사용자 클레임을 추가합니다.
중요
이름 열의 값은 대소문자를 구분합니다. 표시된 대로 정확하게 입력합니다.
모든 사용자 클레임에 대해 Namespace
필드를 비워 두어야 합니다.
이름 | 소스 | 소스 속성 |
---|---|---|
| 속성 |
|
| 속성 |
|
| 속성 |
|
참고
Active Directory 구성에 따라 사용하는 소스 속성이 다를 수 있습니다. 적절한 클레임에는 사용자의 이름, 성, 전체 이메일 주소 가 포함된 소스 속성을 사용합니다.
사용자 클레임을 추가하려면 Azure 문서를 참조하세요.
선택 사항: SAML 토큰에 그룹 클레임을 추가합니다.
역할 매핑을 사용하지 않을 경우 이 단계를 건너뛰세요.
역할 매핑을 사용하려면 Microsoft Entra ID 가 Cloud Manager 로 전송하는 SAML 토큰에 다음 그룹 클레임을 추가합니다.
Add a group claim을(를) 클릭합니다. Azure에 Group Claims 패널이 표시됩니다.
Which groups associated with the user should be returned in the claim? 에서 Security groups 을 클릭합니다. 선택할 수 있는 그룹은 Azure 환경에서 구성한 그룹 유형에 따라 다릅니다. 적절한 그룹 정보를 전송하려면 다른 유형의 그룹을 선택해야 할 수도 있습니다.
Source attribute 드롭다운에서 Group Id 을(를) 선택합니다. Group Id 을(를) 선택하면 Azure 는 사람이 읽을 수 있는 그룹 이름이 아닌 보안 그룹의 객체 ID 를 전송합니다. Azure 환경에 따라 그룹 이름을 대신 전송하는 다른 소스 속성을 선택할 수 있는 옵션이 있을 수 있습니다. Cloud Manager 에서 역할 매핑을 만들 때 SAML 응답으로 전송된 Azure 그룹 데이터를 구성된 MongoDB Atlas 역할 매핑 이름과 일치시킵니다.
Advanced options 섹션에서 Customize the name of the group claim을(를) 클릭합니다.
memberOf을 Name(으)로 설정합니다.
Namespace 을(를) 비워 둡니다.
Emit groups as role claims을 비웁니다.
Save를 클릭합니다.
SAML 서명 인증서가 을(를) 사용하는지 SHA-256
확인합니다.
SAML 서명 인증서가 SHA-256
서명 알고리즘을 사용하는지 확인하려면 Azure 문서를 참조하세요.
Cloud Manager 에서 Microsoft Entra ID 를 ID 제공자로 추가
Federation Management Console 및 Azure 콘솔을 사용하여 Microsoft Entra ID를 IdP로 추가합니다.
MongoDB Cloud ManagerGo MongoDB Cloud Manager 에서 Organization Settings 페이지로 고 (Go) 합니다.
아직 표시되지 않은 경우 다음 목록에서 원하는 조직 을 선택하세요. 탐색 표시줄의 Organizations 메뉴.
1} 메뉴 옆에 있는 아이콘을 클릭합니다.Organization Settings Organizations
조직 설정 페이지가 표시됩니다.
Microsoft Entra ID 를 Cloud Manager 에 ID 제공자로 추가합니다.
클릭 Add Identity Providers
아직 구성한 ID 공급자가 없는 경우 Setup Identity Provider을 클릭합니다. 그렇지 않으면 Identity Providers 화면에서 Add Identity Provider를 클릭합니다.
다음 SAML 프로토콜 설정을 입력하거나 선택합니다. 모든 필드는 필수로 입력해야 합니다.
필드설명Configuration Name
설명이 포함된 이름(예: Microsoft Entra ID)을 입력합니다.
IdP Issuer URI
튜토리얼 앞부분에서 Azure 에서 복사한 Microsoft Entra ID Identifier 를 붙여넣습니다.
IdP Single Sign-On URL
튜토리얼 앞부분에서 Azure 에서 복사한 Login URL 를 붙여넣습니다.
IdP Signature Certificate
튜토리얼 앞부분에서
Base64
Azure 에서 다운로드한 인코딩된 SAML 서명 인증서를 업로드합니다.둘 중 하나를 수행하면 됩니다.
컴퓨터에서 인증서를 업로드하거나
인증서의 내용을 텍스트 상자에 붙여넣습니다.
Request Binding
HTTP POST0}을 선택합니다.
Response Signature Algorithm
SHA-2560}을 선택합니다.
Next를 클릭합니다.
메타데이터 파일을 Azure에 업로드하여 Microsoft Entra ID를 자격 증명 공급자로 구성하는 작업을 완료합니다.
파일을 업로드하려면 앱에 3 싱글 사인온 활성화 의 단계 스크린샷을 참조하세요.Azure 설명서에 있습니다. 링크된 Azure 설명서의 스크린샷에 표시된 대로 SSO 구성 페이지에서 Upload metadata file 을(를) 클릭합니다.
필요에 따라 사용자를 선택한 URL로 전송하고 로그인 후 불필요한 리디렉션을 방지하려면 IdP에 RelayState URL을 추가하세요. 다음을 사용할 수 있습니다.
목적지 | 릴레이 상태 URL | |
---|---|---|
MongoDB MongoDB Cloud Manager | MongoDB Cloud Manager 페더레이션 관리 앱에서 ID 제공자 구성을 위해 생성된 Login URL 입니다. | |
MongoDB 지원 포털 |
| |
MongoDB University |
| |
MongoDB Community 포럼 |
| |
MongoDB 피드백 엔진 |
| |
MongoDB JIRA |
|
도메인 매핑
도메인을 IdP 에 매핑하면 Cloud Manager가 도메인의 사용자를 ID 제공자 구성을 위해 Login URL 로 이동해야 함을 알 수 있습니다.
사용자가 Cloud Manager 로그인 페이지를 방문하면 이메일 주소를 입력합니다. 이메일 도메인이 IdP와 연결된 경우 해당 IdP의 로그인 URL로 전송됩니다.
중요
단일 도메인을 여러 멱등에 매핑할 수 있습니다.이렇게 하면 MongoDB Cloud 콘솔을 사용하여 로그인하는 사용자는 도메인에 매핑되어 첫 번째로 일치하는 IdP로 자동으로 리디렉션됩니다.
대체 멱등을 사용하여 로그인하려면 사용자가 둘 중 하나를 선택해야 합니다.
원하는 IdP를 통해 MongoDB Cloud 로그인을 시작하거나
원하는 IdP와 연결된 Login URL 을 사용하여 로그인합니다.
Federation Management Console 를 사용하여 도메인을 IdP에 매핑하세요.
MongoDB Cloud ManagerGo MongoDB Cloud Manager 에서 Organization Settings 페이지로 고 (Go) 합니다.
아직 표시되지 않은 경우 다음 목록에서 원하는 조직 을 선택하세요. 탐색 표시줄의 Organizations 메뉴.
1} 메뉴 옆에 있는 아이콘을 클릭합니다.Organization Settings Organizations
조직 설정 페이지가 표시됩니다.
도메인 매핑 정보를 입력합니다.
Add a Domain를 클릭합니다.
Domains 화면에서 Add Domain을 클릭합니다.
도메인 매핑에 대해 다음 정보를 입력합니다.
필드설명표시 이름
도메인을 쉽게 식별할 수 있는 이름입니다.
도메인 이름
도메인 이름 맵에 입력합니다.
Next를 클릭합니다.
도메인 확인 방법을 선택합니다.
참고
인증 방법은 한 번만 선택할 수 있습니다.수정할 수는 없습니다.다른 확인 방법을 선택하려면 도메인 매핑을 삭제하고 다시 생성합니다.
HTML 파일을 업로드하여 도메인을 확인하는지, 또는 DNS TXT 레코드를 생성하여 도메인을 확인하는지에 따라 적절한 탭을 선택합니다.
도메인 소유권을 확인하려면 확인 키가 포함된 HTML 파일을 업로드하세요.
HTML File Upload를 클릭합니다.
Next를 클릭합니다.
Cloud Manager에서 제공하는
mongodb-site-verification.html
파일을 다운로드합니다.도메인의 웹 사이트 에 HTML 파일 을 업로드합니다.
<https://host.domain>/mongodb-site-verification.html
에서 파일 에 액세스 할 수 있어야 합니다.Finish를 클릭합니다.
도메인 제공자 를 통해 DNS TXT 기록 를 생성하여 도메인을 소유하고 있음을 확인합니다. 각 DNS 기록 는 특정 Cloud Manager 조직 을 특정 도메인과 연결합니다.
DNS Record를 클릭합니다.
Next를 클릭합니다.
제공된 TXT 레코드를 복사합니다. TXT 레코드의 형식은 다음과 같습니다.
mongodb-site-verification=<32-character string> 도메인 네임 제공자(예: GoDaddy.com 또는 networksolutions.com)에 로그인합니다.
Cloud Manager 가 제공하는 TXT 기록 를 도메인에 추가합니다.
Cloud Manager로 돌아가서 Finish 을(를) 클릭합니다.
도메인을 멱등과 연결
도메인을 성공적으로 확인한 후 Federation Management Console을 사용하여 도메인을 Microsoft Entra ID와 연결합니다.
도메인 매핑 테스트
중요
테스트를 시작하기 전에 IdP 에 대한 SAML 모드 우회 URL 을 복사하여 저장합니다. Cloud Manager 조직이 잠긴 이벤트에서 이 URL을 사용하여 페더레이션 인증을 우회하세요.
테스트하는 동안 잠금을 방지하기 위해 세션을 Federation Management Console 에 로그인된 상태로 유지하세요.
Bypass SAML Mode 에 대해 자세히 알아보려면 SAML 모드 우회를 참조하세요.
Federation Management Console을 사용하여 도메인과 Microsoft Entra ID 간의 통합을 테스트합니다.
(선택 사항) 조직 매핑
Federation Management Console 를 사용하여 도메인의 사용자에게 특정 Cloud Manager 조직에 대한 액세스 권한을 할당합니다.
MongoDB Cloud ManagerGo MongoDB Cloud Manager 에서 Organization Settings 페이지로 고 (Go) 합니다.
아직 표시되지 않은 경우 다음 목록에서 원하는 조직 을 선택하세요. 탐색 표시줄의 Organizations 메뉴.
1} 메뉴 옆에 있는 아이콘을 클릭합니다.Organization Settings Organizations
조직 설정 페이지가 표시됩니다.
조직을 페더레이션 애플리케이션에 연결합니다.
View Organizations를 클릭합니다.
Cloud Manager는 사용자가
Organization Owner
인 모든 조직을 표시합니다.아직 페더레이션 애플리케이션에 연결되지 않은 조직의 경우 Actions 열에 Connect 버튼이 있습니다.
원하는 조직의 Connect 버튼을 클릭합니다.
조직에 멱등을 적용합니다.
관리 콘솔의 Organizations 화면에서 시작합니다.
IdP 에 매핑하려는 조직의 Name을 클릭합니다.
Identity Provider 화면에서 Apply Identity Provider을 클릭합니다.
Cloud Manager는 Cloud Manager에 연결한 모든 IdP 가 표시되는 Identity Providers 화면으로 이동합니다.
조직에 적용하려는 IdP 에 대해 Modify를 클릭합니다.
Edit Identity Provider 양식 하단에서 이 IdP 를 적용할 조직을 선택합니다.
Next를 클릭합니다.
Finish를 클릭합니다.
(선택 사항) 고급 연합 인증 옵션 구성하기
페더레이션 사용자 및 인증 흐름을 더 효과적으로 제어하기 위해 페더레이션 인증에 대해 다음 고급 옵션을 구성할 수 있습니다.
참고
다음과 같은 연합 인증 고급 옵션을 사용하려면 조직을 매핑해야 합니다.
로그인 URL을 사용하여 Cloud Manager에 로그인
Azure 애플리케이션에 할당된 모든 사용자는 Login URL 에서 Microsoft Entra ID 자격 증명을 사용하여 Cloud Manager에 로그인할 수 있습니다. 사용자는 IdP 에 매핑된 조직에 액세스할 수 있습니다.
중요
단일 도메인을 여러 멱등에 매핑할 수 있습니다.이렇게 하면 MongoDB Cloud 콘솔을 사용하여 로그인하는 사용자는 도메인에 매핑되어 첫 번째로 일치하는 IdP로 자동으로 리디렉션됩니다.
대체 멱등을 사용하여 로그인하려면 사용자가 둘 중 하나를 선택해야 합니다.
원하는 IdP를 통해 MongoDB Cloud 로그인을 시작하거나
원하는 IdP와 연결된 Login URL 을 사용하여 로그인합니다.
기본 조직 역할을 선택한 경우 Login URL 를 사용하여 Cloud Manager에 로그인하는 신규 사용자는 지정한 역할을 갖게 됩니다.