Docs Menu
Docs Home
/
MongoDB 매뉴얼
/
자체 관리 배포서버
/
보안
/
인증
/
OIDC/OAuth 2.0
/
워크로드(애플리케이션)

외부 ID 제공자 구성

이 페이지의 내용

  • 이 작업에 대하여
  • 시작하기 전에
  • 단계

OAuth 2.0을 사용하여 Workload Identity Federation을 구성하려면 Microsoft Azure 또는 Google Cloud Platform (GCP )과 같은 외부 ID 제공자 에 OAuth 2.0 애플리케이션 을 등록합니다. 이를 통해 보안 인증 이 가능하고 사용자 관리 가 간소화됩니다.

이 작업에 대하여

Workload Identity Federation은 OAuth2.0 액세스 토큰을 사용합니다. 이러한 토큰은 모든 외부 ID 제공자 가 발급할 수 있습니다.

다음 절차에서는 Microsoft Azure Entra ID 및 Google Cloud Platform 을 MongoDB 의 외부 ID 제공자로 구성합니다.

시작하기 전에

  • Microsoft Azure 를 ID 제공자 로 사용하려면 Microsoft Azure 계정이 있어야 합니다.

  • Google Cloud를 ID 제공자 로 사용하려면 Google Cloud 계정이 있어야 합니다.

단계

Azure 관리형 ID 또는 Azure 서비스 주체를 사용하여 자체 관리되는 MongoDB 인스턴스에 액세스 하려면 Azure Entra ID 애플리케이션 을 등록해야 합니다. 워크포스(인간 사용자) 액세스 에 대한 기존 애플리케이션 이 있는 경우 워크로드 액세스 에 대해 별도의 애플리케이션 을 등록하는 것이 좋습니다.

1

애플리케이션 등록

  1. App registrations 로 이동합니다.

    1. Azure Portal Microsoft Entra ID에서 계정, Atlas Search를 클릭하고 를 클릭합니다.

    2. 좌측 탐색의 Manage 섹션에서 App registrations을 클릭합니다.

  2. New registration를 클릭합니다.

  3. 다음 값을 적용합니다.

    필드
    Name
    MongoDB - Workload
    Supported Account Types
    Accounts in this organizational directory only (single tenant)
    Redirect URI
    Web
2

(선택 사항) 그룹 클레임 추가

애플리케이션 액세스 의 경우 자체 관리형 MongoDB 배포에서 액세스 권한을 정의하는 동안 서비스 주체 식별자를 MongoDB 사용자 식별자로 사용하는 것이 가장 좋습니다. 이 일반적인 접근 방식을 사용할 계획이라면 이 단계를 건너뛰세요. 그러나 Azure AD 보안 그룹 식별자와 같은 그룹 식별자를 대신 사용하려는 경우 아래 단계에 따라 애플리케이션 등록에서 그룹 클레임을 설정하다 수 있습니다.

  1. Token Configuration(으)로 이동합니다.

    좌측 탐색의 Manage 섹션에서 Token Configuration을 클릭합니다.

  2. Add groups claim를 클릭합니다.

  3. Edit groups claim 0} 모달에서 을 Security 선택합니다.

    선택하는 그룹은 Azure 환경에서 구성한 그룹 유형에 따라 다릅니다. 적절한 그룹 정보를 전송하려면 다른 그룹 유형을 선택해야 할 수도 있습니다.

  4. 0} Customize token properties by type 섹션에서 만 선택했는지 확인합니다.Group ID

    Group ID를 선택하면 Azure에서 보안 그룹의 객체 ID를 보냅니다.

  5. Add를 클릭합니다.

    그룹 클레임 추가에 대해자세히 알아보려면 Azure 설명서를 참조하세요.

3

애플리케이션 ID URI 활성화

  1. 왼쪽 사이드바에서 Expose an API (으)로 이동하여 애플리케이션 ID URI를 활성화 합니다.

  2. 애플리케이션 ID URI를 활성화합니다.

    Azure 에서 할당한 기본값 애플리케이션 ID URI인 <application_client_id> 을 유지합니다. 자체 관리형 MongoDB 배포 및 모든 MongoDB 드라이버에는 Workload Identity Federation 구성에 이 값이 필요하므로 이 값을 복사하고 저장 합니다.

4

매니페스트 업데이트

  1. 좌측 탐색의 Manage 섹션에서 Manifest을 클릭합니다.

  2. 0}을 accessTokenAcceptedVersion null 에서 2 로 업데이트합니다.

    숫자 2 은(는) Microsoft 액세스 토큰의 버전 2 을(를) 나타냅니다. 다른 애플리케이션은 이를 Active Directory에서 관리하는 사용자의 ID 증명으로 사용할 수 있습니다. 버전 2 는 토큰이 MongoDB 가 이해할 수 있는 JSON Web Token인지 확인합니다.

  3. Save를 클릭합니다.

선택적 클레임을 추가하는 방법에 대해 자세히 알아보려면 Azure 설명서를 참조하세요.

5

메타데이터 기억

  1. 왼쪽 탐색에서 Overview을 클릭합니다.

  2. 상단 탐색에서 Endpoints을 클릭합니다.

    /.well-known/openid-configuration 을(를) 제외한 OpenID Connect metadata document 값을 복사합니다.

    OpenID Connect metadata document URL 을 따라 issuer 값을 복사하여 이 값을 조회 할 수도 있습니다.

다음 표는 이러한 Microsoft Entra ID UI 값이 MongoDB oidcIdentityProviders 매개변수에서 매핑되는 것을 보여줍니다.

Microsoft Entra ID UI
MongoDB oidcIdentityProviders 매개변수 필드
OpenID Connect metadata document (without /.well-known/openid-configuration)
issuer
Application ID URI
audience

Google Cloud 서비스 계정에서 구성을 변경할 필요가 없습니다.

돌아가기

워크로드(애플리케이션)

다음

워크로드 아이덴티티 페더레이션으로 MongoDB 구성