SAML 인증 에 대한 MongoDB Ops Manager 사용자 구성 MongoDB Ops Manager

이 페이지의 내용

고려 사항

전제 조건
절차

SAML(Security AssertionMarkup Language) 서비스를 실행하는 ID 제공자(IdP)를 사용하여 Ops Manager 사용자 인증 및 권한 부여를 관리할 수 있습니다. 인증된 세션 없이 Ops Manager로 이동하려고 하면 Ops Manager는 로그인할 수 있는 IdP 로 사용자를 보냅니다. 인증이 완료되면 Ops Manager 애플리케이션으로 돌아갑니다.

이 튜토리얼에서는 다음 방법을 설명합니다.

Ops Manager에 대한 SAML 인증 구성
SAML 그룹을 MongoDB Ops Manager 조직 역할 및 프로젝트 역할에 매핑합니다.

고려 사항

SAML 활성화 후에도 사용자가인증된 상태로 유지

SAML 인증을 사용하도록 Ops Manager 인스턴스를 변경하면 모든 사용자는 현재 세션에 로그인된 상태로 유지됩니다. 인증 변경 후 Ops Manager에 로그인하려는 사용자는 SAML IdP 로 리디렉션됩니다.

2단계 구성

SAML 인스턴스를 설정할 때 일부 순환 로직이 적용됩니다. 작동하는 통합을 만들려면 다음을 수행하세요.

IdP 에는 서비스 제공자의 값이 필요하며
서비스 제공자는 IdP 의 값이 필요합니다.

이 통합을 시작하려면 이 튜토리얼의 필수 구성 요소와 절차를 따르세요.

전제 조건

SAML 통합을 구성하려면 SAML IdP 에 대해 다음 조치를 수행해야 합니다.

SAML IdP 를 설치합니다.
Ops Manager 인스턴스가 네트워크를 통해 IdP 에 액세스할 수 있는지 확인합니다.

SAML IdP 에서 다음을 수행해야 합니다.

Ops Manager 전역 소유자에 매핑되는 SAML 사용자를 생성합니다.
Ops Manager Global Owner 에 매핑할 수 있는 SAML 그룹을 생성합니다.
Global Owner SAML 사용자에게 SAML 그룹을 할당합니다.
Ops Manager를 나타내는 Ops Manager용 새 애플리케이션을 만듭니다.

이 새 애플리케이션에 대한 초기 Ops Manager SAML 값을 구성합니다.

다음 필드에 자리 표시자 값을 설정합니다:
- SP Entity ID or Issuer
- Audience URI
- Assertion Consumer Service (ACS) URL

IdP 에서 다음 필드에 실제 값을 설정합니다.

필드	공통 값
Signature Algorithm	IdP 에는 다음 값 중 하나 이상이 있을 수 있습니다. `rsa-sha1` `dsa-sha1` `rsa-sha256` `rsa-sha384` `rsa-sha512`
Name ID	`Email Address`
Name ID Format	`urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified`

다음 속성 값에 대해 속성 이름을 사용하여 속성을 생성합니다.
- 이메일 주소
- 이름
- 성
- 사용자 그룹
서명된 SAML 응답 및 어설션을 요구하도록 IdP 를 구성합니다.
이 값을 저장합니다.

절차

SAML 인증을 구성하려면 다음을 수행합니다.

IdP 에 로그인합니다.

Copy SAML IdP values.

IdP 에서 Ops Manager 애플리케이션을 클릭합니다.

Ops Manager 메타데이터 값을 찾습니다.
다음 값을 임시 파일에 복사합니다.
- SAML Login URL
- SAML Logout URL
- X.509 Certificate ( IdP 의 경우)
- IdP Entity ID or Issuer
- Signature Algorithm

페이지의 User Authentication 탭 으로 이동합니다.Ops Manager Config

Ops Manager 애플리케이션을 열고 Admin 로 이동합니다. General Ops Manager Config User Authentication.

User Authentication 옵션을 SAML 로 설정합니다.

MongoDB Ops Manager 에서 필요한 SAML IdP 설정 값을 MongoDB Ops Manager 설정합니다.

다음 SAML 필드에 대해 IdP 의 값을 입력합니다.

필드	필요성	작업	기본값
ID 제공자 URI	필수 사항	싱글 사인온을 조정할 때 사용할 IdP 의 URI 를 입력합니다. 이 URI 는 SAML IdP 의 IdP Entity ID or Issuer 입니다. 이 URI 는 SAML 응답의 `Issuer URI` 와 동일해야 합니다.	none
SSO 엔드포인트 URL	필수 사항	IdP 의 싱글 사인온 URL 을 입력합니다. 이 URL 은 IdP 의 SAML Login URL 입니다.	none
SLO 엔드포인트 URL	옵션	Ops Manager 사용자가 Ops Manager에서 로그아웃할 때 Ops Manager 사용자가 IdP 에서 로그아웃하도록 하려면 호출할 SAML IdP URL 을 입력합니다. 이 값은 IdP 의 SAML Logout URL 입니다.	none
ID 제공자 X509 인증서	필수 사항	이 필드에 IdP 의 X.509 인증서를 붙여넣습니다. IdP 는 PEM 형식으로 인증서를 제공합니다. `-----BEGIN CERTIFICATE-----` 포함하여 시작하고 `-----END CERTIFICATE-----` 포함하고 끝나는 전체 인증서 내용을 포함해야 합니다. Ops Manager는 이 인증서를 사용하여 IdP 로 자체를 확인합니다. 이 값은 IdP 의 X.509 Certificate 입니다. 이는 SAML 응답 및 어설션에 서명하는 데 사용하는 것과 동일한 X.509 Certificate 이어야 합니다.	none
ID 제공자 서명 알고리즘	필수 사항	IdP 와 주고받는 서명을 암호화하는 데 사용되는 알고리즘을 선택합니다. 허용되는 값은 다음과 같습니다. `rsa-sha1` `dsa-sha1` `rsa-sha256` `rsa-sha384` `rsa-sha512` 이 값은 IdP 의 Signature Algorithm 입니다.	none
암호화된 어설션 필요	옵션	IdP 가 Ops Manager로 전송되는 어설션을 암호화할지 여부를 선택합니다.	`false`
전역 역할 소유자 그룹	필수 사항	모든 그룹에 대한 전체 액세스 권한 및 모든 관리 권한을 포함하여 이 배포서버에 대한 전체 권한을 가진 그룹의 이름을 SAML 그룹 멤버 속성에 입력합니다. 이 그룹은 이 Ops Manager 인스턴스에 대해 `Global Owner` 역할이 있습니다. 필수 구성 요소의 일부로 이 그룹을 IdP 설정에 추가했습니다. 이 값은 SAML 응답에 전송된 그룹 구성원 속성 값과 일치해야 합니다. Azure AD 를 IdP 로 사용하는 경우 이 필드에 그룹 이름 대신 그룹의 객체 ID를 입력합니다.	none
사용자 이름에 대한 SAML 속성	필수 사항	사용자 이름이 포함된 SAML 속성의 이름을 입력합니다.	none
사용자 성에 대한 SAML 속성	필수 사항	사용자의 성이 포함된 SAML 속성의 이름을 입력합니다.	none
사용자 이메일의 SAML 속성	필수 사항	사용자의 이메일 주소가 포함된 SAML 속성의 이름을 입력합니다.	none
SAML 그룹 멤버 속성	필수 사항	Ops Manager가 프로젝트 및 조직에 역할을 매핑하는 데 사용하는 그룹 목록이 포함된 SAML 속성의 이름을 입력합니다.	`groups`

필요한 선택적 SAML IdP 설정을 MongoDB Ops Manager 에 MongoDB Ops Manager 추가합니다.

다음 SAML 필드에 대해 IdP 의 값을 입력합니다.

필드	필요성	작업	기본값
SP 인증서 PEM 키 파일의 경로	옵션	서비스 제공자가 요청에 서명하는 데 사용하는 PEM형식의 인증서의 절대 파일 경로를 입력합니다. 이 인증서에는 개인 키와 공개 키가 포함됩니다. 이 필드를 비워 둘 경우: Ops Manager는 IdP 에 대한 SAML 인증 요청에 서명하지 않습니다. SAML 어설션은 암호화할 수 없습니다.	none
SP 인증서 PEM 키 파일의 비밀번호	조건부	SP PEM 파일의 개인 키를 암호화한 경우 이 필드에 비밀번호를 입력합니다.	none
전역 자동화 관리자 역할	옵션	구성원에게 `Global Automation Admin` 역할이 있는 그룹의 이름을 입력합니다. 이 값은 SAML 응답에 전송된 그룹 구성원 속성 값과 일치해야 합니다. Azure AD 를 IdP 로 사용하는 경우 이 필드에 그룹 이름 대신 그룹의 객체 ID를 입력합니다.	none
전역 백업 관리자 역할	옵션	구성원에게 `Global Backup Admin` 역할이 있는 그룹의 이름을 입력합니다. 이 값은 SAML 응답에 전송된 그룹 구성원 속성 값과 일치해야 합니다. Azure AD 를 IdP 로 사용하는 경우 이 필드에 그룹 이름 대신 그룹의 객체 ID를 입력합니다.	none
전역 모니터링 관리자 역할	옵션	구성원에게 `Global Monitoring Admin` 역할이 있는 그룹의 이름을 입력합니다. 이 값은 SAML 응답에 전송된 그룹 구성원 속성 값과 일치해야 합니다. Azure AD 를 IdP 로 사용하는 경우 이 필드에 그룹 이름 대신 그룹의 객체 ID를 입력합니다.	none
전역 사용자 관리자 역할	옵션	구성원에게 `Global User Admin` 역할이 있는 그룹의 이름을 입력합니다. 이 값은 SAML 응답에 전송된 그룹 구성원 속성 값과 일치해야 합니다. Azure AD 를 IdP 로 사용하는 경우 이 필드에 그룹 이름 대신 그룹의 객체 ID를 입력합니다.	none
전역 읽기 전용 역할	옵션	구성원에게 `Global Read Only` 역할이 있는 그룹의 이름을 입력합니다. 이 값은 SAML 응답에 전송된 그룹 구성원 속성 값과 일치해야 합니다. Azure AD 를 IdP 로 사용하는 경우 이 필드에 그룹 이름 대신 그룹의 객체 ID를 입력합니다.	none

Save를 클릭합니다.

전역 소유자로 로그인합니다.

Ops Manager SAML Global Role Owner 필드에 지정된 SAML 그룹의 일부인 사용자로 Ops Manager에 로그인합니다.

로그인에 성공하면 Ops Manager가 프로젝트 페이지를 표시합니다.

SAML 그룹을 프로젝트 역할과 연결합니다.

SAML 그룹을 새 프로젝트의 역할과 연결하려면 다음을 수행합니다.

참고

새 프로젝트를 생성하려면 전역 역할을 가지고 있어야 합니다.

Admin > General > Projects를 클릭합니다.
Create a New Project를 클릭합니다.
Project Name에 새 Ops Manager 프로젝트의 이름을 입력합니다.
각 프로젝트 역할에 해당하는 SAML 그룹을 입력합니다.
중요
각 그룹에 대해 정규화된 고유 이름을 사용해야 합니다. 여러 LDAP 또는 SAML 그룹이 동일한 역할에 해당하는 경우 세미콜론 2개(;;)로 구분합니다. 역할의 필드에서 그룹을 제거하여 해당 역할에 대한 그룹의 액세스 권한을 취소합니다.
Add Project를 클릭합니다.

기존 프로젝트의 역할과 SAML 그룹의 연결을 업데이트하려면 다음 안내를 따르세요.

Admin > General > Projects를 클릭합니다.
프로젝트의 Actions 열에서 을 클릭한 다음 Edit SAML Settings을 클릭합니다.
각 프로젝트 역할에 해당하는 SAML 그룹을 입력합니다.
중요
각 그룹에 대해 정규화된 고유 이름을 사용해야 합니다. 여러 LDAP 또는 SAML 그룹이 동일한 역할에 해당하는 경우 세미콜론 2개(;;)로 구분합니다. 역할의 필드에서 그룹을 제거하여 해당 역할에 대한 그룹의 액세스 권한을 취소합니다.
Save Changes를 클릭합니다.

선택 사항: SAML 그룹을 조직 역할과 연결합니다.

SAML 그룹을 새 조직의 역할과 연결하려면 다음을 수행합니다.

참고

새 조직을 생성하려면 전역 역할을 가지고 있어야 합니다.

Admin > General > Organizations를 클릭합니다.
Create a New Organization를 클릭합니다.
Organization Name에 새 Ops Manager 조직의 이름을 입력합니다.
각 조직 역할에 해당하는 SAML 그룹을 입력합니다.
중요
각 그룹에 대해 정규화된 고유 이름을 사용해야 합니다. 여러 LDAP 또는 SAML 그룹이 동일한 역할에 해당하는 경우 세미콜론 2개(;;)로 구분합니다. 역할의 필드에서 그룹을 제거하여 해당 역할에 대한 그룹의 액세스 권한을 취소합니다.
Add Organization를 클릭합니다.

기존 조직의 역할과 SAML 그룹의 연결을 업데이트하려면 다음을 수행합니다.

Admin > General > Organizations를 클릭합니다.
Edit Org 버튼을 클릭합니다.
각 조직 역할에 해당하는 SAML 그룹을 입력합니다.
중요
각 그룹에 대해 정규화된 고유 이름을 사용해야 합니다. 여러 LDAP 또는 SAML 그룹이 동일한 역할에 해당하는 경우 세미콜론 2개(;;)로 구분합니다. 역할의 필드에서 그룹을 제거하여 해당 역할에 대한 그룹의 액세스 권한을 취소합니다.
Save Changes를 클릭합니다.

MongoDB 배포를 추가합니다.

MongoDB 배포를 추가할 때 SAML 인증 설정을 지정합니다.

Ops Manager 메타데이터를 내보냅니다.

SAML 구성을 저장하면 Download the Metadata XML File 링크가 나타납니다.

이 링크를 클릭하여 SAMLSP 메타데이터 XML 파일을 다운로드합니다.

이 메타데이터 파일은 다음 예시와 유사해야 합니다.

1 <?xml version="1.0"?>
2 <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" validUntil="2019-09-13T20:36:00Z" cacheDuration="PT604800S" entityID="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080" ID="ONELOGIN_f95ad815-e8da-4ab3-a799-3c581484cd6a">
3   <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
4     <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080/saml/logout"/>
5     <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
6     <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080/saml/assert" index="1"/>
7   </md:SPSSODescriptor>
8 </md:EntityDescriptor>

SAML SP 메타데이터를 IdP 로 가져옵니다.

IdP 가 옵션을 제공하는 경우 메타데이터를 IdP 로 가져옵니다. Ops Manager는 IdP 에 대한 서비스 제공자(SP) 역할을 합니다.

메타데이터 XML 파일의 다음 값을 IdP 에 제공합니다.

필드	공통 값
SP Entity ID or Issuer	`<OpsManagerHost>:<Port>`
Audience URI	`<OpsManagerHost>:<Port>`
Assertion Consumer Service (ACS) URL	`<OpsManagerHost>:<Port>/saml/assert`
Single Logout URL	`<OpsManagerHost>:<Port>/saml/logout`

이러한 값 중 하나 이상이 누락된 경우 이전 표에 나열된 지침을 사용하여 해당 값을 설정합니다.

이 값을 IdP 에 저장합니다.

MongoDB Ops MongoDB Ops Manager Manager 와 IdP 간의 SAML 통합을 테스트합니다.

비공개 브라우저 창에서 Ops Manager 인스턴스로 Go합니다.
IdP 로 리디렉션됩니다.
IdP 로 인증합니다.
그런 다음 Ops Manager 인스턴스로 리디렉션됩니다.

돌아가기

LDAP 구성

인증으로 보호

1	<?xml version="1.0"?>
2	<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" validUntil="2019-09-13T20:36:00Z" cacheDuration="PT604800S" entityID="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080" ID="ONELOGIN_f95ad815-e8da-4ab3-a799-3c581484cd6a">
3	<md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
4	<md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080/saml/logout"/>
5	<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
6	<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http://ec2-3-88-178-252.compute-1.amazonaws.com:8080/saml/assert" index="1"/>
7	</md:SPSSODescriptor>
8	</md:EntityDescriptor>