외부 ID 제공자 구성
OAuth 2.0을 사용하여 Workload Identity Federation을 구성하려면 Microsoft Azure 또는 Google Cloud Platform (GCP )과 같은 외부 ID 제공자 에 OAuth 2.0 애플리케이션 을 등록합니다. 이를 통해 보안 인증 이 가능하고 사용자 관리 가 간소화됩니다.
이 작업에 대하여
Workload Identity Federation은 OAuth2.0 액세스 토큰을 사용합니다. 이러한 토큰은 모든 외부 ID 제공자 가 발급할 수 있습니다.
다음 절차에서는 Microsoft Azure Entra ID 및 Google Cloud Platform 을 MongoDB 의 외부 ID 제공자로 구성합니다.
시작하기 전에
Microsoft Azure 를 ID 제공자 로 사용하려면 Microsoft Azure 계정이 있어야 합니다.
Google Cloud를 ID 제공자 로 사용하려면 Google Cloud 계정이 있어야 합니다.
단계
Azure 관리형 ID 또는 Azure 서비스 주체를 사용하여 자체 관리되는 MongoDB 인스턴스에 액세스 하려면 Azure Entra ID 애플리케이션 을 등록해야 합니다. 워크포스(인간 사용자) 액세스 에 대한 기존 애플리케이션 이 있는 경우 워크로드 액세스 에 대해 별도의 애플리케이션 을 등록하는 것이 좋습니다.
애플리케이션 등록
App registrations 로 이동합니다.
Azure Portal Microsoft Entra ID에서 계정, Atlas Search를 클릭하고 를 클릭합니다.
좌측 탐색의 Manage 섹션에서 App registrations을 클릭합니다.
New registration를 클릭합니다.
다음 값을 적용합니다.
필드값Name
MongoDB - Workload
Supported Account Types
Accounts in this organizational directory only (single tenant)
Redirect URI
Web
(선택 사항) 그룹 클레임 추가
애플리케이션 액세스 의 경우 자체 관리형 MongoDB 배포에서 액세스 권한을 정의하는 동안 서비스 주체 식별자를 MongoDB 사용자 식별자로 사용하는 것이 가장 좋습니다. 이 일반적인 접근 방식을 사용할 계획이라면 이 단계를 건너뛰세요. 그러나 Azure AD 보안 그룹 식별자와 같은 그룹 식별자를 대신 사용하려는 경우 아래 단계에 따라 애플리케이션 등록에서 그룹 클레임을 설정하다 수 있습니다.
Token Configuration(으)로 이동합니다.
좌측 탐색의 Manage 섹션에서 Token Configuration을 클릭합니다.
Add groups claim를 클릭합니다.
Edit groups claim 0} 모달에서 을 Security 선택합니다.
선택하는 그룹은 Azure 환경에서 구성한 그룹 유형에 따라 다릅니다. 적절한 그룹 정보를 전송하려면 다른 그룹 유형을 선택해야 할 수도 있습니다.
0} Customize token properties by type 섹션에서 만 선택했는지 확인합니다.Group ID
Group ID를 선택하면 Azure에서 보안 그룹의 객체 ID를 보냅니다.
Add를 클릭합니다.
그룹 클레임 추가에 대해자세히 알아보려면 Azure 설명서를 참조하세요.
매니페스트 업데이트
좌측 탐색의 Manage 섹션에서 Manifest을 클릭합니다.
0}을 accessTokenAcceptedVersion
null
에서2
로 업데이트합니다.숫자
2
은(는) Microsoft 액세스 토큰의 버전 2 을(를) 나타냅니다. 다른 애플리케이션은 이를 Active Directory에서 관리하는 사용자의 ID 증명으로 사용할 수 있습니다. 버전 2 는 토큰이 MongoDB 가 이해할 수 있는 JSON Web Token인지 확인합니다.Save를 클릭합니다.
선택적 클레임을 추가하는 방법에 대해 자세히 알아보려면 Azure 설명서를 참조하세요.
메타데이터 기억
왼쪽 탐색에서 Overview을 클릭합니다.
상단 탐색에서 Endpoints을 클릭합니다.
/.well-known/openid-configuration
을(를) 제외한 OpenID Connect metadata document 값을 복사합니다.OpenID Connect metadata document URL 을 따라
issuer
값을 복사하여 이 값을 조회 할 수도 있습니다.
다음 표는 이러한 Microsoft Entra ID UI 값이 MongoDB oidcIdentityProviders
매개변수에서 매핑되는 것을 보여줍니다.
Microsoft Entra ID UI | MongoDB oidcIdentityProviders 매개변수 필드 |
---|---|
OpenID Connect metadata document (without /.well-known/openid-configuration) |
|
Application ID URI |
|
Google Cloud 서비스 계정에서 구성을 변경할 필요가 없습니다.