외부 ID 제공자 구성
OAuth 2.0을 사용하여 Workload Identity Federation을 구성하려면 Microsoft Azure 또는 Google Cloud Platform (GCP )과 같은 외부 ID 제공자 에 OAuth 2.0 애플리케이션 등록합니다. 이를 통해 보안 인증 가능하고 사용자 관리 간소화됩니다.
이 작업에 대하여
Workload Identity Federation은 OAuth2.0 를 사용합니다. 액세스 토큰. 이러한 토큰은 모든 외부 ID 제공자 가 발급할 수 있습니다.
다음 절차에서는 Microsoft Azure Entra ID 및 Google Cloud Platform MongoDB 의 외부 ID 제공자로 구성합니다.
시작하기 전에
Microsoft Azure ID 제공자 로 사용하려면 Microsoft Azure 계정이 있어야 합니다.
Google Cloud Platform ID 제공자 로 사용하려면 Google Cloud Platform 계정이 있어야 합니다.
단계
Azure 관리형 ID 또는 Azure 서비스 주체를 사용하여 자체 관리되는 MongoDB 인스턴스 액세스 하려면 Azure Entra ID 애플리케이션 등록해야 합니다. 워크포스(인간 사용자) 액세스 에 대한 기존 애플리케이션 이 있는 경우 워크로드 액세스 에 대해 별도의 애플리케이션 등록하는 것이 좋습니다.
애플리케이션 등록
App registrations 로 이동합니다.
Azure Portal Microsoft Entra ID에서 계정, Atlas Search를 클릭하고 를 클릭합니다.
좌측 탐색의 Manage 섹션에서 App registrations을 클릭합니다.
New registration를 클릭합니다.
다음 값을 적용합니다.
필드값Name
MongoDB - Workload
Supported Account Types
Accounts in this organizational directory only (single tenant)
Redirect URI
Web
(선택 사항) 그룹 클레임 추가
애플리케이션 액세스 의 경우 자체 관리형 MongoDB 배포에서 액세스 권한을 정의하는 동안 서비스 주체 식별자를 MongoDB 사용자 식별자로 사용하는 것이 가장 좋습니다. 이 일반적인 접근 방식을 사용할 계획이라면 이 단계를 건너뛰세요. 그러나 Azure AD 보안 그룹 식별자와 같은 그룹 식별자를 대신 사용하려는 경우 아래 단계에 따라 애플리케이션 등록에서 그룹 클레임을 설정하다 수 있습니다.
Token Configuration(으)로 이동합니다.
좌측 탐색의 Manage 섹션에서 Token Configuration을 클릭합니다.
Add groups claim를 클릭합니다.
Edit groups claim 0} 모달에서 을 Security 선택합니다.
선택하는 그룹은 Azure 환경에서 구성한 그룹 유형에 따라 다릅니다. 적절한 그룹 정보를 전송하려면 다른 그룹 유형을 선택해야 할 수도 있습니다.
0} Customize token properties by type 섹션에서 만 선택했는지 확인합니다.Group ID
Group ID를 선택하면 Azure에서 보안 그룹의 객체 ID를 보냅니다.
Add를 클릭합니다.
그룹 클레임 추가에 대해자세히 알아보려면 Azure 설명서를 참조하세요.
매니페스트 업데이트
좌측 탐색의 Manage 섹션에서 Manifest을 클릭합니다.
0}을 accessTokenAcceptedVersion
null
에서2
로 업데이트합니다.숫자
2
은(는) Microsoft 액세스 토큰의 버전 2 을(를) 나타냅니다. 다른 애플리케이션은 이를 Active Directory에서 관리하는 사용자의 ID 증명으로 사용할 수 있습니다. 버전 2 는 토큰이 MongoDB 이해할 수 있는 JSON web token 인지 확인합니다.Save를 클릭합니다.
선택적 클레임을 추가하는 방법에 대해 자세히 알아보려면 Azure 설명서를 참조하세요.
메타데이터 기억
왼쪽 탐색에서 Overview을 클릭합니다.
상단 탐색에서 Endpoints을 클릭합니다.
/.well-known/openid-configuration
을(를) 제외한 OpenID Connect metadata document 값을 복사합니다.OpenID Connect metadata document URL 따라 이동하고
issuer
의 값을 복사하여 이 값을 조회 할 수도 있습니다.
다음 표는 이러한 Microsoft Entra ID UI 값이 MongoDB oidcIdentityProviders
매개변수에서 매핑되는 것을 보여줍니다.
Microsoft Entra ID UI | MongoDB oidcIdentityProviders 매개변수 필드 |
---|---|
OpenID Connect metadata document (without /.well-known/openid-configuration) |
|
Application ID URI |
|
Google Cloud Platform 서비스 계정에서 구성을 변경할 필요가 없습니다.