Docs Menu
Docs Home
/
MongoDB 매뉴얼
/
자체 관리 배포서버
/
보안
/
인증
/
OIDC/OAuth 2.0
/
워크로드(애플리케이션)

워크로드 아이덴티티 페더레이션으로 MongoDB 구성

이 페이지의 내용

  • 시작하기 전에
  • 단계
  • 다음 단계
  • 자세히 알아보기

Workload Identity Federation을 사용하여 MongoDB 를 구성하여 다양한 플랫폼에서 서비스를 인증합니다. 이를 통해 보안을 강화하고 서비스 ID 관리 를 간소화할 수 있습니다.

시작하기 전에

  • MongoDB Enterprise를 사용하고 있는지 확인합니다.

    MongoDB 엔터프라이즈 를 사용하고 있는지 확인하려면 --version 명령줄 옵션을 또는mongod mongos 에 전달합니다.

    mongod --version

    이 명령의 출력에서 modules: subscription 또는 modules: enterprise 문자열을 찾아 MongoDB Enterprise 바이너리를 사용하고 있는지 확인합니다.

  • 외부 ID 제공자 를 구성합니다. 자세한 내용은 외부 ID 제공자 구성을 참조하세요.

단계

1

OIDC(OpenID Connect)로 MongoDB 서버 구성

MongoDB 서버를 구성하려면 MONGODB-OIDC 인증 메커니즘을 활성화하고 oidcIdentityProviders를 사용하여 멱등(IDP) 구성을 지정합니다.

참고

Workload Identity Federation을 위해 MongoDB 를 구성할 때 의 supportsHumanFlows 필드 를 oidcIdentityProviders 로 설정하다 false 합니다.

구성 파일 또는 명령줄 을 사용하여 MongoDB 서버 를 구성할 수 있습니다.

구성 파일 을 사용하려면 파일 에 두 개의 매개변수를 지정합니다.

setParameter:
   authenticationMechanisms: MONGODB-OIDC
   oidcIdentityProviders: [ {
        "issuer": "https://okta-test.okta.com",
        "audience": "example@kernel.mongodb.com",
        "authNamePrefix": "okta-issuer",
        "matchPattern": "@mongodb.com$",
        "JWKSPollSecs": 86400
   } ]

명령줄 을 사용하려면 다음을 지정합니다.

mongod --auth --setParameter authenticationMechanisms=MONGODB-OIDC --setParameter \
'oidcIdentityProviders=[ {
   "issuer": "https://okta-test.okta.com",
        "audience": "example@kernel.mongodb.com",
        "authNamePrefix": "okta-issuer",
        "matchPattern": "@mongodb.com$",
        "JWKSPollSecs": 86400
   } ]'
2

(선택 사항) 내부 권한 부여 활성화

내부 권한 부여 를 활성화 하려면 oidcIdentityProviders 매개변수의 useAuthorizationClaim 필드 를 false로 설정하다 합니다. 이 설정을 사용하면 ID 제공자 의 권한 부여 클레임 대신 사용자 문서에 의존하여 보다 유연한 사용자 관리 가 가능합니다.

setParameter:
   authenticationMechanisms: MONGODB-OIDC
   oidcIdentityProviders: [ {
        "issuer": "https://okta-test.okta.com",
        "audience": "example@kernel.mongodb.com",
        "authNamePrefix": "okta-issuer",
        "matchPattern": "@mongodb.com$",
        "useAuthorizationClaim": "false",
        "JWKSPollSecs": 86400
   } ]
mongod --auth --setParameter authenticationMechanisms=MONGODB-OIDC --setParameter \
'oidcIdentityProviders=[ {
   "issuer": "https://okta-test.okta.com",
        "audience": "example@kernel.mongodb.com",
        "authNamePrefix": "okta-issuer",
        "matchPattern": "@mongodb.com$",
        "useAuthorizationClaim": "false",
        "JWKSPollSecs": 86400
   } ]'

useAuthorizationClaimfalse 로 설정하다 하면 MONGODB-OIDC 메커니즘으로 인증하는 사용자는 $external 의 사용자 문서 에서 권한 부여 권한을 얻습니다. 서버 는 ID 제공자 의 사용자에 대한 모든 OIDC 기반 인증 시도에 대해 authNamePrefix/principalName 클레임 값과 일치하는 _id 가 있는 사용자 문서 를 검색합니다.

중요

이 필드 가 로 설정하다 false 경우 authorizationClaim 필드 를 포함하지 마세요.

다음 단계

자세히 알아보기

돌아가기

외부 ID 제공자 구성

다음

사용자 권한 부여