LDAP 지원 중단
이 페이지의 내용
MongoDB 8.0 부터 시작됩니다. LDAP 인증 및 권한 부여 는 더 이상 사용되지 않습니다. LDAP 는 사용할 수 있으며 MongoDB 8 의 수명 기간 동안 변경 없이 계속 작동합니다. LDAP 는 향후 주요 출시하다 에서 제거될 예정입니다.
LDAP 에서 대체 인증 방법으로 마이그레이션 할 계획을 세워야 합니다.
전체 LDAP 마이그레이션 정보는 향후 제공될 예정입니다.
세부 정보
다음 섹션에서는 자체 관리형 MongoDB Enterprise Advanced, MongoDB Atlas 및 MongoDB Atlas for Government의 대체 인증 방법을 소개합니다.
자체 관리형 MongoDB Enterprise Advanced
인간 사용자 액세스 의 경우, MongoDB 는 LDAP 에서 Workforce Identity Federation(OIDC 인증)으로 마이그레이션할 것을 권장합니다. Workforce Identity Federation을 사용하면 Microsoft ADFS(Active Directory Federation Services), Microsoft Entra ID , Okta 및 Ping Identity와 같이 OIDC를 지원하는 모든 ID 제공자 를 사용하여 자체 관리되는 MongoDB 데이터베이스에 대한 싱글 사인온(SSO) 액세스 가 가능합니다.
프로그래밍 방식 사용자의 경우 MongoDB 는 LDAP 에서 Workload Identity Federation으로 마이그레이션할 것을 권장합니다. Workload Identity Federation을 사용하면 애플리케이션에서 권한 부여 서비스에서 제공하는 OAuth 2.0 액세스 토큰으로 데이터베이스를 사용할 수 있습니다.
Microsoft Azure 관리형 ID 및 Google Cloud Platform (GCP ) 서비스 계정과 같은 cloud 제공자 주체를 사용할 수도 있습니다. Workload Identity Federation을 사용할 수 없는 경우, MongoDB 는 x를 사용할 것을 권장합니다.509 인증서 인증.
MongoDB 서버 를 사용하여 Workforce Identity Federation(OIDC 인증 )을 구성하려면 Workforce Identity Federation으로 MongoDB 구성을 참조하세요.
MongoDB 서버 를 사용하여 워크로드 아이덴티티 페더레이션(OAuth )을 구성하려면2.0 워크로드 아이덴티티 페더레이션으로 MongoDB 구성을 참조하세요.
MongoDB Cloud Manager 를 사용하여 Workforce and Workload Identity Federation을 구성하려면 Cloud Manager 로 인증 및 권한 부여 활성화를 참조하세요.
MongoDB Ops Manager를 사용하여 Workforce and Workload Identity Federation을 구성하려면 MongoDB Ops Manager MongoDB Ops Manager MongoDB Ops Manager 인증 및 권한 부여 활성화를 MongoDB Ops Manager 참조하세요.
자체 관리형 MongoDB deployment 에서 LDAP 와 비교한 Workforce 및 Workload Identity Federation의 몇 가지 장점은 다음과 같습니다.
MongoDB 에 저장된 자격 증명 없음: LDAP 바인드 사용자 자격 증명 이 MongoDB 에 저장됩니다. Workforce 또는 Workload Identity Federation을 사용하는 경우, MongoDB 는 사용자 디렉토리에 액세스 을 부여하는 자격 증명 이나 비밀을 저장 하지 않습니다.
애플리케이션 간 위험 감소: LDAP 연결에서 LDAP 사용자의 LDAP LDAP 자격 증명 은 연결 문자열 내에서 MongoDB stringMongoDB 로 전송되며, 이는 애플리케이션 간 액세스 의 위험이 있습니다. 그러나 Workforce and Workload Identity Federation을 사용하면 MongoDB 가 시크릿을 수신하지 않습니다. OIDC 및 OAuth 2.0 은 대상 클레임을 사용하여 특정 리소스에 대한 액세스 토큰을 부여합니다. 토큰이 손상되면 해당 토큰을 사용하여 다른 애플리케이션에 액세스 할 수 없습니다.
액세스 토큰으로 보안 개선: Identity Federation은 텀 액세스 토큰을 통해 액세스 을 부여하므로 LDAP 에 비해 보안이 향상됩니다. 액세스 토큰은 일반적으로 1시간 동안 유효합니다. 이 기간은 일반적으로 ID 제공자 에 따라 사용자 지정할 수 있습니다.
애플리케이션 사용자를 위한 비밀번호 없는 인증: 애플리케이션이 cloud 에서 실행 경우, Workload Identity Federation은 특정 cloud 리소스에서 실행 되는 애플리케이션에 대해 비밀번호 없는 인증 을 지원합니다. 이렇게 하면 주기적으로 자격 증명 을 갱신할 필요가 없습니다.
MongoDB Atlas 및 Atlas for Government
인간 사용자 액세스 의 경우, MongoDB 는 LDAP 에서 Workforce Identity Federation(OIDC 인증)으로 마이그레이션할 것을 권장합니다. Workforce Identity Federation을 사용하면 Microsoft Entra ID , Okta 및 Ping Identity와 같이 OIDC를 지원하는 모든 ID 제공자 를 통해 Atlas 클러스터에 대한 싱글 사인온(SSO) 액세스 가 가능합니다.
프로그래밍 방식 사용자의 경우 MongoDB 는 LDAP 에서 Amazon AWS-IAM 인증 또는 Workload Identity Federation으로 마이그레이션할 것을 권장합니다. 애플리케이션이 Amazon Web Services Amazon Web Services 리소스에서 실행 경우, Amazon Web Amazon Web ServicesServices -IAM 인증 을 사용하여 MongoDB Atlas Amazon Amazon Web ServicesWeb Services -IAM 역할로 MongoDB Atlas 클러스터에 액세스 있습니다.
애플리케이션이 Microsoft Azure 또는 Google Cloud Platform 시스템에서 실행 경우, Workload Identity Federation을 사용하여 Microsoft Azure 관리형 ID 또는 Google Cloud Platform 서비스 계정으로 Atlas 클러스터에 액세스 할 수 있습니다. AWS-IAM 또는 Workload Identity Federation을 사용할 수 없는 경우, MongoDB 는 x를 사용할 것을 권장합니다.509 인증서 인증.
Workforce and Workload Identity Federation을 시작하려면 Atlas 에서 OIDC/OAuth 를 사용한 인증 및 권한 부여를 참조하세요.2.0
AWS-IAM 인증 을 시작하려면 AWS-IAM으로 인증 설정을 참조하세요.
Atlas 의 LDAP 와 비교하여 Workforce and Workload Identity Federation의 몇 가지 장점은 다음과 같습니다.
네트워크 보안 개선: LDAP 에는 공개 FQDN(정규화된 도메인 이름)이 필요하므로 잠재적인 방화벽 취약성이 발생합니다. Workforce Identity Federation을 사용하면 인터넷에 연결된 IdP(ID 제공자)를 사용하고 사용자 디렉토리 의 일부를 IdP와 동기화하여 Workforce Identity Federation의 보안을 강화할 수 있습니다.
향상된 자격 증명 처리: LDAP 와 달리 Workforce 또는 Workload Identity Federation을 사용할 때 사용자 자격 증명 은 MongoDB 로 전송되거나 MongoDB에 저장되지 않습니다.
인간 사용자를 위한 최신 인증 정책: Workforce Identity Federation은 IdP를 통한 인증 을 허용하므로 최신 인증 정책을 사용할 수 있습니다.
간단한 구성: LDAP 사용자는 Atlas 에 대한 복잡한 네트워크 구성이 필요합니다. Identity Federation은 구성이 더 간단합니다.
액세스 토큰으로 보안 개선: Workforce and Workload Identity Federation 및 AWS-IAM 인증 은 텀 액세스 토큰을 통해 액세스 을 부여하므로 LDAP 에 비해 보안이 향상됩니다. 액세스 토큰은 일반적으로 1시간 동안 유효합니다. 이 기간은 일반적으로 ID 제공자 에 따라 사용자 지정할 수 있습니다.
애플리케이션 사용자를 위한 비밀번호 없는 인증: Workload Identity Federation은 특정 cloud 리소스에서 실행 되는 애플리케이션에 대해 비밀번호 없는 인증 을 지원합니다. 이렇게 하면 주기적으로 자격 증명 을 갱신할 필요가 없습니다.
비용 효율성: Atlas 개발자 및 프로 지원 의 경우 LDAP 에는 고급 보안 패키지 의 일부로 요금이 부과됩니다. Workforce 및 Workload Identity Federation에는 추가 요금이 없습니다. 가격은 다음을 참조하세요.