연합 인증을 위한 고급 옵션
이 페이지의 내용
- Cloud Manager 에 대한 프로그래밍 방식의 액세스 를 위한 OAuth 2.0 인증 은 Preview 기능 으로 제공됩니다.
- 기능 및 해당 설명서는 미리 보기 기간에 언제든지 변경될 수 있습니다. OAuth 2.0 인증 을 사용하려면 Cloud Manager 공개 API 에 대한 요청에 사용할서비스 계정을 만듭니다.
페더레이션 사용자 및 인증 흐름을 더 효과적으로 제어하기 위해 페더레이션 인증 인스턴스에서 고급 옵션을 구성할 수 있습니다.
페더레이션 관리 액세스
Federation
Management Console 에서 페더레이션 인증을 managed 수 있습니다. 인스턴스에 페더레이션 설정을 위임하는 하나 이상의 조직에서 Organization Owner
인 경우 콘솔에 액세스할 수 있습니다.
Federation Management Console 를 열려면 다음을 수행합니다.
MongoDB Cloud ManagerGo MongoDB Cloud Manager 에서 Organization Settings 페이지로 고 (Go) 합니다.
아직 표시되지 않은 경우 다음 목록에서 원하는 조직 을 선택하세요. 탐색 표시줄의 Organizations 메뉴.
1} 메뉴 옆에 있는 아이콘을 클릭합니다.Organization Settings Organizations
조직 설정 페이지가 표시됩니다.
조직의 기본 사용자 역할 할당하기
- 다음을 수행하는 각 사용자를 자동으로 프로비저닝하도록 MongoDB Atlas를 구성할 수 있습니다.
- 매핑된 조직에서 기본 역할 을 사용하여 IdP 를 통해 인증합니다. 조직마다 다른 역할을 선택할 수 있습니다.
참고
선택한 역할은 조직에 아직 역할이 없는 경우 IdP를 통해 인증하는 사용자에게만 적용됩니다.
도메인별로 조직에 대한 액세스 제한
승인된 도메인 목록을 지정하여 해당 도메인 외부의 사용자가 조직에 액세스하지 못하도록 할 수 있습니다.이 목록을 사용하면 해당 도메인을 IdP에 직접 매핑하지 않아도 조직의 승인된 도메인 목록을 정의할 수 있습니다.
중요
고려 사항
Restrict Access by Domain 옵션을 활성화 한 후 다음을 수행합니다.
이메일 주소가 승인된 도메인 목록에 있는 새 사용자만 조직에 가입하도록 초대할 수 있습니다.
사용자 이름에 승인된 목록의 도메인이 포함되어 있지 않은 이미 조직에 있는 사용자는 조직에 대한 액세스가 제한 되지 않습니다 .
IdP에 매핑된 모든 도메인은 승인된 목록에 자동으로 추가됩니다.
Federation Management Console 에서:
승인된 목록에 도메인을 추가합니다.
승인된 목록에 도메인을 추가하려면 다음 중 하나를 수행하면 됩니다.
Add Domains from Existing Members 을 클릭합니다. Cloud Manager는 조직의 기존 사용자 이메일 주소의 도메인이 포함된 모달을 엽니다. 이 목록을 사용하면 이미 조직에 속한 사용자의 액세스를 쉽게 활성화할 수 있습니다.
확인란을 사용하여 원하는 도메인을 선택한 다음 Add 을 클릭하여 승인된 목록에 추가합니다.
Add Domains 을 클릭합니다. Cloud Manager는 승인된 목록에 도메인을 수동으로 추가할 수 있는 모달을 엽니다.
입력 상자에 승인하려는 도메인을 입력한 다음 Add 을(를) 클릭합니다. 승인하려는 각 도메인에 대해 이 프로세스 를 반복합니다.
참고
페더레이션에 대한 사용자 멤버십을 제한 한 경우, 페더레이션 외부의 조직에 액세스하는 데 사용 중인 도메인을 추가하면 Cloud Manager에서 경고를 표시합니다.
원하는 도메인을 모두 추가한 후 Submit 을 클릭합니다.
SAML 모드 우회
Bypass SAML Mode 은(는) 페더레이션 인증을 우회하는 로그인 URL 을 제공하며 대신 Cloud Manager 자격 증명을 사용하여 인증할 수 있습니다.
페더레이션 인증 설정이 올바르게 구성되지 않은 경우, IdP 를 통해 Cloud Manager에 로그인하지 못할 수 있습니다. Bypass SAML Mode URL 은 Cloud Manager 조직이 잠기는 것을 방지하는 데 도움이 됩니다. IdP 를 구성하고 테스트하는 동안 Cloud Manager에 로그인하고 페더레이션 인증 설정을 올바르게 구성할 수 있도록 Bypass SAML Mode URL을 기록해 두는 것이 좋습니다.
각 Bypass SAML Mode URL은 개별 IdP 와 연결되며 IdP의 Login URL 에 해당합니다.
Bypass SAML Mode (은)는 기본적으로 활성화되어 있지만 페더레이션 인증을 올바르게 구성했다고 확신이 들면 보안 조치로 이를 비활성화할 수도 있습니다.
Bypass SAML Mode 을 설정하려면 Federation Management Console 에서 다음을 수행합니다.
활성화 후 로그인 Bypass SAML Mode
Bypass SAML Mode 를 활성화한 후에는 다음을 사용하여 Cloud Manager에 로그인해야 합니다.
IdP Bypass SAML Mode 의 URL 입니다.
다음과 같은 사용자 이름:
IdP에 매핑한 도메인을 포함합니다.
페더레이션 인증을 구성하기 전에 MongoDB Atlas 또는 Cloud Manager에 로그인한 적이 있습니다.
페더레이션에 대한 사용자 멤버십 제한
페더레이션 인스턴스의 사용자가 새 조직을 만들거나 자신의 자격 증명을 사용하여 페더레이션 외부 조직에 액세스하지 못하도록 할 수 있습니다. 연합 사용자를 완전히 제어하고 연합 사용자가 원하는 Cloud Manager 조직에만 액세스할 수 있도록 하려면 이 설정을 구성합니다.
중요
이 설정은 연합 내의 모든 ID 제공자 및 조직을 포함하여 전체 연합에 적용됩니다.
고려 사항
이 설정을 활성화하면 다음이 수행됩니다.
페더레이션 인증 인스턴스의 어떤 사용자도 페더레이션 외부 조직에 대한 액세스 권한을 얻을 수 없습니다.
마찬가지로 페더레이션된 사용자는 페더레이션 외부의 조직에 가입하라는 초대를 수락하거나 받을 수 없습니다.
Organization Owner
역할이 있는 페더레이션의 사용자는 여전히 새 조직을 만들 수 있습니다. 이러한 새 조직은 페더레이션에 자동으로 연결됩니다.Organization Owner
역할이 없는 페더레이션의 사용자는 새 조직을 만들 수 없습니다.페더레이션의 사용자는 멤버십 제한 이전에 액세스 권한이 있었던 모든 조직에 대한 액세스 권한을 유지합니다.
절차
Federation Management Console 에서: