OpenID Connect를 사용하여 자체 관리형 MongoDB 구성
MongoDB Enterprise는 OpenID Connect 인증을 지원합니다. OpenID Connect를 사용하여 MongoDB 데이터베이스와 타사 멱등 간에 Single Sign-On을 구성할 수 있습니다.
시작하기 전에
선택한 제공자를 통해 OpenID Connect 클라이언트 프로필을 설정합니다: Microsoft Azure AD 또는 Okta.
mongosh를 사용하여 연결할 때oidcRedirectUri옵션을 사용하는 경우 URI는 ID 제공자의 구성과 일치해야 합니다.MongoDB Enterprise를 사용하고 있는지 확인합니다.
MongoDB Enterprise 를 사용하고 있는지 확인하려면
--version명령줄 옵션을mongod또는mongos에 전달합니다.mongod --version 이 명령의 출력에서
modules: subscription또는modules: enterprise문자열을 찾아 MongoDB Enterprise 바이너리를 사용하고 있는지 확인합니다.
단계
MongoDB 서버 구성
MongoDB 서버를 구성하려면 MONGODB-OIDC 인증 메커니즘을 활성화하고 oidcIdentityProviders를 사용하여 멱등(IDP) 구성을 지정합니다.
구성 파일 또는 명령줄을 사용하여 MongoDB 서버를 구성할 수 있습니다.
구성 파일을 사용하여 구성하려면 파일에 두 매개 변수를 지정합니다.
setParameter: authenticationMechanisms: MONGODB-OIDC oidcIdentityProviders: [ {"issuer": "https://...", ...} ]
명령줄 을 사용하여 구성하려면 다음을 지정합니다.
mongod --auth --setParameter authenticationMechanisms=MONGODB-OIDC --setParameter \ 'oidcIdentityProviders=[ {"issuer": "https://...", ...} ]'
MongoDB 역할 생성
admin 데이터베이스에서 db.createRole() 메서드를 사용하여 멱등 그룹 역할을 MongoDB 역할에 매핑하는 역할을 생성합니다.
다음 형식을 사용하여 역할을 만들 수 있습니다.
<authNamePrefix>/<authorizationClaim>
oidcIdentityProviders 매개 변수는 authNamePrefix 필드와 authorizationClaim 필드를 제공합니다. 예를 들면 다음과 같습니다.
db.createRole( { role: "okta/Everyone", privileges: [ ], roles: [ "readWriteAnyDatabase" ] } )