Docs Menu
Docs Home
/
MongoDB Cloud Manager
/ / /

OIDC로 Workforce Identity Federation 설정하기

이 페이지의 내용

  • 필요한 액세스 권한
  • 전제 조건
  • 절차
  • 외부 멱등 애플리케이션 구성
  • Workforce Identity Federation 인증 구성
  • OIDC 인증 구성
  • Workforce Identity Federation으로 MongoDB 에 연결하기
  • 기존 Workforce Identity Federation 구성 관리
  • Revoke JWKS
  • 구성 편집
  • 구성 삭제

MongoDB 7.0 이상에서는 Workforce Identity Federation을 사용하면 회사 IdP 와 같은 외부 ID 제공자(IdP)를 사용하여 직원, 파트너, 계약업체 등의 특정 인력을 인증하고 권한을 부여할 수 있습니다.

Workforce Identity Federation을 사용하면 다음을 수행할 수 있습니다.

  • 기존 IdP를 통해 MongoDB deployment에 대한 직원 액세스를 관리합니다.

  • 비밀번호 복잡성, 자격 증명 순환, 다단계 인증 과 같은 보안 정책을 IdP 내에서 시행합니다.

Workforce Identity Federation(직원 ID 페더레이션)은 프로젝트 당 하나만 생성할 수 있지만, 언제든지 구성을 편집하거나 다시 생성할 수 있습니다.

Workforce Identity Federation을 구성하려면 Cloud Manager 에 대한 액세스 이 있어야 Project Owner 합니다.

다음 사항이 있어야 합니다.

  • mongosh 1.9.1 이상입니다.

  • MongoDB 7.0 이상.

  • MongoDB Agent 가 구성된 다른 인증 메커니즘 이 하나 이상 있습니다.

    참고

    MongoDB Agent 는 OIDC를 통해 배포서버 서버에 연결할 수 없습니다. MongoDB Agent 에 대한 추가 인증 메커니즘을 활성화 해야 합니다. Cloud Manager 가 모니터링 또는 백업을 관리 하지 않는 경우 대체 인증 메커니즘 을 사용하도록 수동으로 구성해야 합니다.

Workforce Identity Federation을 사용하여 Cloud Manager 배포에 액세스 하려면 다음 단계를 완료하세요.

  1. 인력 ID 제공자를 구성합니다(일회성 설정).

    1. 외부 ID 제공자 를 구성합니다.

    2. Cloud Manager 에서 Workforce Identity Provider를 구성합니다.

  2. 외부 ID(사용자 주체) 또는 그룹 액세스 을 부여합니다.

  3. Cloud Manager 배포서버 서버에 인증합니다.

OIDC를 사용하여 Workforce Identity Federation을 구성하려면 Microsoft Entra ID , Okta 또는 Ping Identity와 같은 OIDC 표준을 지원하는 IdP에 OIDC 애플리케이션 을 등록합니다.

다음 권한 부여 유형에 대해 OIDC 애플리케이션을 구성할 수 있습니다.

  • PKCE를 사용한 권한 부여 코드 흐름

  • 기기 권한 부여 흐름

MongoDB는 보안 강화를 위해 PKCE 와 함께 Authorization Code Flow(권한 부여 코드 흐름)를 사용할 것을 권장합니다. 사용자가 브라우저 없이 컴퓨터에서 데이터베이스에 액세스해야 하는 경우에만 Device Authorization Flow(장치 권한 부여 흐름)를 사용하세요.

OIDC 애플리케이션 등록 단계는 IdP 에 따라 다를 수 있습니다. 등록 프로세스 중에 다음 항목을 완료해야 합니다.

OIDC 애플리케이션 의 일반적인 등록 단계는 다음과 같습니다.

1

클라이언트 유형으로 public client/native application 를 선택합니다.

2
3

그룹의 경우 이 단계에서는 액세스 토큰에 인증하는 사용자의 그룹 멤버십 정보가 포함되어 있는지 확인합니다. MongoDB는 권한 부여를 위해 그룹 클레임으로 전송된 값을 사용합니다.

4

(선택 사항) MongoDB 클라이언트가 더 나은 사용자 경험을 위해 토큰을 새로 고침하도록 하려면 refresh tokens(새로 고침 토큰)를 허용하세요.

5

(선택 사항) 데이터베이스 연결 세션 시간에 맞게 액세스 토큰 수명(exp 클레임)을 구성합니다.

애플리케이션 을 등록한 후 구성의 다음 단계에서 사용할 issuer, clientIdaudience 값을 저장합니다.

Microsoft Entra ID 로 OIDC 애플리케이션 을 등록하려면 다음을 수행합니다.

1
  1. App registrations(으)로 이동합니다.

    1. Azure Portal 에서 계정을 검색 하고Microsoft Entra ID 클릭합니다.

    2. 좌측 탐색의 Manage 섹션에서 App registrations을 클릭합니다.

  2. New registration를 클릭합니다.

  3. 다음 값을 적용합니다.

    필드
    Name
    Cloud Manager Database - Workforce
    Supported Account Types
    Accounts in this organizational directory only (single tenant)
    Redirect URI
    - Public client/native (mobile & desktop)
    - http://localhost:27097/redirect
  4. Register를 클릭합니다.

애플리케이션 등록에 대해 자세히 알아보려면 Azure 설명서를 참조하세요.

2
  1. Token Configuration(으)로 이동합니다.

    좌측 탐색의 Manage 섹션에서 Token Configuration을 클릭합니다.

  2. Add groups claim를 클릭합니다.

  3. Edit groups claim 0} 모달에서 을 Security 선택합니다.

    선택하는 그룹은 Azure 환경에서 구성한 그룹 유형에 따라 다릅니다. 적절한 그룹 정보를 전송하려면 다른 그룹 유형을 선택해야 할 수도 있습니다.

  4. Customize token properties by type 섹션에서 Group ID 만 선택합니다.

  5. Add를 클릭합니다.

그룹 클레임 추가에 대해자세히 알아보려면 Azure 설명서를 참조하세요.

3
  1. Add optional claim를 클릭합니다.

  2. Add optional claim 0} 모달에서 을 Access 선택합니다.

  3. 이메일과 같은 MongoDB 액세스 로그에서 참조할 수 있는 사용자 식별자가 포함된 클레임을 선택합니다.

    UPN 클레임을 사용하여 이메일 주소 로 사용자를 식별할 수 있습니다.

  4. Add를 클릭합니다.

  5. Microsoft Graph Permissions 노트에서 확인란을 선택하고 Add를 클릭합니다.

자세한 내용은 Azure 설명서를 참조하세요.

4
  1. 좌측 탐색의 Manage 섹션에서 Manifest을 클릭합니다.

  2. 0}을 accessTokenAcceptedVersion null 에서 2 로 업데이트합니다.

    숫자 2는 Microsoft의 액세스 토큰 버전 2를 나타냅니다. 다른 애플리케이션에서는 이를 Active Directory에서 관리하는 사용자 ID의 서명된 증명으로 사용합니다. 버전 2는 토큰이 MongoDB가 이해할 수 있는 JSON Web Token인지 확인합니다.

  3. Save를 클릭합니다.

선택적 클레임을 추가하는 방법에 대해 자세히 알아보려면 Azure 설명서를 참조하세요.

5
  1. 왼쪽 탐색에서 Overview을 클릭합니다.

    Application (client) ID 값을 복사합니다.

  2. 상단 탐색에서 Endpoints을 클릭합니다.

    /.well-known/openid-configuration 부분을 제외한 OpenID Connect metadata document 값을 복사합니다.

    OpenID Connect metadata document URL 에서 issuer 값을 복사하여 이 값을 가져올 수도 있습니다.

다음 표는 이러한 Microsoft Entra ID UI 값이 MongoDB Atlas 구성 속성에서 매핑되는 것을 보여줍니다.

Microsoft Entra ID UI
MongoDB Atlas 구성 속성
Application (client) ID
Client ID
Audience
OpenID Connect metadata document (without /.well-known/openid-configuration)
Issuer URI.

OIDC를 사용하여 Workforce Identity Federation을 구성하려면 다음 절차를 완료하세요.

참고

Workforce Identity Federation은 인증을 위해 JSON web token만 지원합니다. 불투명 액세스 토큰은 지원하지 않습니다.

1
  1. 탐색 표시줄의 메뉴에서 프로젝트 가 포함된 조직 을 선택합니다. Organizations

  2. 탐색 표시줄의 Projects 메뉴에서 프로젝트를 선택합니다.

  3. 사이드바에서 Deployment를 클릭합니다.

  4. Security 탭을 클릭합니다.

  5. Settings 탭을 클릭합니다.

  6. 다음 작업 중 하나를 수행합니다.

    • 이 프로젝트에 대한 TLS, 인증 또는 권한 부여 설정을 처음 구성하는 경우 Get Started을(를) 클릭합니다.

    • 이 프로젝트에 대한 TLS 인증 또는 권한 부여 설정을 이미 구성한 경우 Edit을(를) 클릭합니다.

2
필드
작업
MongoDB deployment TLS(전송 계층 보안)
이 슬라이더를 ON(으)로 전환합니다.
TLS CA 파일 경로

TLS 인증 기관 파일은 인증 기관의 루트 인증서 체인을 포함하는 .pem 형식의 인증서 파일입니다. MongoDB Agent는 동일한 인증 기관 파일을 사용하여 배포서버의 모든 항목에 연결합니다.

인증서 파일의 암호화된 비공개 키는 .pem PKCS #1 에 있어야 합니다. 형식. MongoDB Agent가 PKCS를 지원하지 않습니다.8 # 형식.

MongoDB 프로세스를 실행하는 모든 호스트에서 TLS 인증 기관 파일의 파일 경로를 입력합니다.

  • 첫 번째 상자에 모든 Linux 호스트의 파일 경로를 입력합니다.

  • 두 번째 상자에 모든 Windows 호스트의 파일 경로를 입력합니다.

이렇게 하면 프로젝트의 MongoDB 프로세스에 대한 net.tls.CAFile 설정이 활성화됩니다.

배포서버의 각 호스트에 지정된 경로에 TLS 인증 기관이 있는지 테스트하려면 Validate을(를) 클릭하세요.

클러스터 TLS CA 파일 경로

클라이언트가 연결을 구축할 때 제시한 인증서의 유효성을 검사할 때 사용된 인증 기관의 루트 인증서 체인이 포함되어 있는 .pem 파일을 지정합니다. 상대 경로 또는 절대 경로를 사용하여 .pem 파일의 이름을 지정합니다. net.tls.clusterCAFile을 사용하려면 net.tls.CAFile 설정이 필요합니다.

net.tls.clusterCAFile 를 지정하지 않으면 클러스터 는 net.tls.CAFile 옵션에 지정된 .pem 파일 을 사용합니다.

net.tls.clusterCAFile 를 사용하면 별도의 인증 기관을 사용하여 TLS 핸드셰이크의 클라이언트-서버 및 서버-클라이언트 부분을 확인할 수 있습니다.

클라이언트 인증서 모드

클라이언트 애플리케이션 또는 MongoDB Agent가 TLS 지원 MongoDB deployment에 연결할 때 TLS 인증서를 제시해야 하는지 여부를 선택합니다. 각 MongoDB deployment 는 연결을 시도할 때 이러한 클라이언트 호스트의 인증서를 확인합니다. 클라이언트 TLS 인증서를 요구하도록 선택한 경우 인증서가 유효한지 확인합니다.

허용되는 값은 다음과 같습니다.

옵션
모든 클라이언트는 MongoDB deployment에 연결할 때 유효한 TLS 인증서를 제시할 수 있습니다. mongod tlsModeNone 로 설정 하지 않은 경우 MongoDB Agents가 TLS 인증서를 사용할 수 있습니다.
필수 사항
이 프로젝트의 모든 MongoDB deployment는 TLS로 암호화된 네트워크 연결로 시작됩니다. 모든 에이전트는 TLS를 사용하여 모든 MongoDB deployment에 연결해야 합니다.
3

MongoDB Deployment Authentication Mechanism 섹션에서 Federated Auth (OIDC)를 선택합니다.

4
  1. OIDC Connection and Authorization (Required for OIDC) 섹션에서 + OIDC IdP Configuration을 클릭합니다.

  2. OIDC Protocol Settings 대화 상자에서 Workforce Identity Federation 을 선택합니다.

5
설정
필요성
Configuration Name
필수 사항

이 구성을 식별하는 고유 레이블입니다. 이 레이블은 Cloud Manager 사용자가 볼 수 있으며 권한 부여 를 위한 사용자 및 역할을 만들 때 사용됩니다. 대소문자를 구분하며 다음 문자만 포함할 수 있습니다.

  • 영숫자 문자( a ~ z0 ~ 9 의 조합)

  • 하이픈 (-)

  • 밑줄 (_)

구성을 저장한 후에는 구성 이름을 편집할 수 없습니다.

Issuer URI
필수 사항
등록된 IdP 애플리케이션에서 제공하는 발급자 값입니다. MongoDB는 이 URI를 사용하여 /.wellknown/open-id-configuration 엔드포인트에서 사용할 수 있는 OpenID Provider Configuration Document(OpenID 제공자 구성 문서)를 찾습니다.
Client ID
필수 사항
등록된 애플리케이션 의 고유 식별자입니다. 외부 ID 제공자에 등록한 앱 의 clientId 값을 입력합니다.
Audience
필수 사항
외부 ID 제공자 가 토큰을 사용하는 엔티티입니다. 외부 ID 제공자에 등록한 앱 의 audience 값을 입력합니다. 일반적으로 이 값은 Client ID 과 동일합니다.
Requested Scopes
옵션

사용자에게 권한 부여 엔드포인트에서 데이터를 요청할 수 있는 권한을 부여하는 토큰.

추가하려는 각 추가 범위에 대해 Add more scopes를 클릭합니다.

권한 부여 유형
필수 사항
IdP 사용자 그룹 멤버십을 기반으로 권한을 부여하려면 Group Membership 을 선택하고, 개별 사용자에게 권한을 부여하려면 User ID 을 선택합니다.
Customize User Claim
필수 사항

사용자 보안 주체 ID를 포함하는 클레임의 식별자.IdP가 다른 클레임을 사용하지 않는 한 기본값을 그대로 사용합니다.

기본값: sub

Customize Group Claim
필수 사항

권한 부여 유형으로 Group Membership 을(를) 선택한 경우 필수입니다. 주체의 IdP 사용자 그룹 구성원 자격 정보를 포함하는 클레임의 식별자입니다. IdP가 다른 클레임을 사용하거나 사용자 지정 클레임이 필요한 경우가 아니라면 기본값 을 그대로 사용합니다.

기본값: groups

6

Cloud Manager 가 구성을 저장하고 OIDC Connection and Authorization (Required for OIDC) 섹션에 나열합니다.

7
8
9

그렇지 않으면 Cancel을(를) 클릭하면 추가로 변경할 수 있습니다.

MongoDB 는 OIDC에 대한 데이터베이스 사용자를 명시적으로 생성하지 않습니다. 구성을 기반으로 OIDC 사용자를 MongoDB 역할에 매핑합니다.

OIDC 인증 을 구성할때 선택한 권한 부여 유형에 따라 탭 을 선택합니다.

권한 부여 유형을 선택한 경우 다음 단계를 Group Membership 완료하여 IdP 사용자 그룹 멤버십을 기반으로 권한 부여 을 부여하는 사용자 지정 역할 을 생성합니다.

1
  1. 탐색 표시줄의 메뉴에서 프로젝트 가 포함된 조직 을 선택합니다. Organizations

  2. 탐색 표시줄의 Projects 메뉴에서 프로젝트를 선택합니다.

  3. 사이드바에서 Deployment를 클릭합니다.

  4. Security 탭을 클릭합니다.

  5. MongoDB Roles 탭을 클릭합니다.

2
3
  1. 다음 필드를 입력합니다.

    필드
    필요성
    설명
    Identifier
    필수 사항

    Database 상자에 admin 을 입력합니다.

    Name 상자에 OIDC IdP 구성 이름과 외부 ID 제공자 의 그룹 이름을 슬래시 로 구분하여 / 입력합니다.

    {configuration_name}/{group_name}
    Inherits From
    옵션
    역할 이름 및 데이터베이스 쌍 목록입니다. 이러한 쌍의 형식은 roleName@dbName 입니다.
    Authentication Restrictions
    옵션
    IdP 에서 제한하려는 IP 주소 또는 CIDR 표기법의 목록입니다.
    Privilege Actions by Resource
    옵션

    리소스에 허용된 조치입니다.

    학습 내용은 권한 작업을 참조하세요.

  2. Add Role를 클릭합니다.

User ID 권한 부여 유형을 선택한 경우 새 사용자를 생성하여 개별 사용자에게 권한을 권한 부여 합니다.

1
  1. 탐색 표시줄의 메뉴에서 프로젝트 가 포함된 조직 을 선택합니다. Organizations

  2. 탐색 표시줄의 Projects 메뉴에서 프로젝트를 선택합니다.

  3. 사이드바에서 Deployment를 클릭합니다.

  4. Security 탭을 클릭합니다.

  5. MongoDB Users 탭을 클릭합니다.

2
3

참고

사용자를 추가하기 전에 사용자에게 할당하려는 역할을 생성했는지 확인합니다.

  1. 사용자 계정 필드를 작성합니다.

    필드
    설명
    Identifier
    • 첫 번째 필드 에 $external 데이터베이스 를 입력합니다.

    • 두 번째 필드 에는 OIDC IdP 구성 이름을 사용하여 사용자 이름 을 입력하고 구성의 사용자 주체 클레임을 슬래시 로 구분하여 / 입력합니다.

      {configuration_name}/{user_principal_claim}
    Roles
    이 상자에 사용 가능한 사용자 정의 역할과 기본 제공 역할을 입력합니다. 콤보 상자를 클릭하면 기존 역할 목록이 제공됩니다.
    Authentication Restrictions
    1. Add Entry를 클릭합니다.

    2. 또는 상자에 하나 이상의 IP 주소 및/또는 CIDR 블록을 추가합니다.Client Source Server Address 여러 주소 또는 블록을 쉼표로 구분하세요.

      • Client Source 이 사용자가 인증하고 지정된 역할을 사용할 수 있는 주소를 제한합니다.

      • Server Address 이 사용자가 인증할 수 있고 지정된 역할을 갖는 주소를 제한합니다.

    3. Save를 클릭합니다.

    4. 다른 항목을 추가하려면 Add Entry 을 클릭합니다.

  2. Add User를 클릭합니다.

4
5

그렇지 않으면 Cancel을(를) 클릭하면 추가로 변경할 수 있습니다.

mongosh 또는 Compass 를 사용하여 Workforce Identity Federation 인증 을 통해 애플리케이션 을 MongoDB 에 연결합니다.

Workforce Identity Federation 구성을 관리 하기 위해 다음 조치를 수행할 수 있습니다.

참고

이 기능을 사용하여 서명키를 순환하지 마세요.OIDC IdP 서명키를 순환하면 기존 액세스 토큰이 만료될 때 MongoDB가 자동으로 JWKS를 가져옵니다.

개인키가 손상된 경우 MongoDB 노드에 캐시된 JSON 웹 키 세트(JWKS)를 즉시 취소할 수 있습니다.

1
  1. 이미 표시되어 있지 않은 경우 탐색 모음의 Organizations 메뉴에서 원하는 프로젝트가 포함된 조직을 선택합니다.

  2. 아직 표시되지 않은 경우 탐색 표시줄의 Projects 메뉴에서 원하는 프로젝트를 선택합니다.

  3. Deployment 페이지가 아직 표시되지 않은 경우 사이드바에서 Deployment를 클릭합니다.

    배포 페이지가 표시됩니다.

2

배포서버 의 Security 탭 을 클릭합니다.

보안 페이지가 표시됩니다.

3

Settings 탭을 클릭합니다.

4
  1. OIDC Connection and Authorization (Required for OIDC) 섹션으로 스크롤합니다.

  2. REVOKE JWKS 버튼을 클릭합니다.

    참고

    이 버튼은 구성된 IdP 가 없는 경우 유휴 상태입니다.

  3. Revoke JWKS tokens? 대화 상자에서 Revoke 을 클릭합니다.

Workforce Identity Federation 구성을 편집하려면 다음을 수행합니다.

1
  1. 이미 표시되어 있지 않은 경우 탐색 모음의 Organizations 메뉴에서 원하는 프로젝트가 포함된 조직을 선택합니다.

  2. 아직 표시되지 않은 경우 탐색 표시줄의 Projects 메뉴에서 원하는 프로젝트를 선택합니다.

  3. Deployment 페이지가 아직 표시되지 않은 경우 사이드바에서 Deployment를 클릭합니다.

    배포 페이지가 표시됩니다.

2

배포서버 의 Security 탭 을 클릭합니다.

보안 페이지가 표시됩니다.

3
  1. OIDC Connection and Authorization (Required for OIDC) 섹션으로 스크롤합니다.

  2. 편집하려는 구성에 대해 EDIT 버튼을 클릭합니다.

  3. 구성을 변경합니다.

4
5
6
7

그렇지 않으면 Cancel을(를) 클릭하면 추가로 변경할 수 있습니다.

Workforce Identity Federation 구성을 삭제 다음을 수행합니다.

1
  1. 이미 표시되어 있지 않은 경우 탐색 모음의 Organizations 메뉴에서 원하는 프로젝트가 포함된 조직을 선택합니다.

  2. 아직 표시되지 않은 경우 탐색 표시줄의 Projects 메뉴에서 원하는 프로젝트를 선택합니다.

  3. Deployment 페이지가 아직 표시되지 않은 경우 사이드바에서 Deployment를 클릭합니다.

    배포 페이지가 표시됩니다.

2

배포서버 의 Security 탭 을 클릭합니다.

보안 페이지가 표시됩니다.

3
  1. OIDC Connection and Authorization (Required for OIDC) 섹션으로 스크롤합니다.

  2. 삭제 하려는 구성에 대해 REMOVE 버튼을 클릭합니다.

  3. Removing OIDC IdP configuration? 대화 상자에서 Remove 을 클릭합니다.

돌아가기

OIDC 사용