Aproveite a autenticação federada do Kubernetes
O Atlas Kubernetes Operator suporta o uso deautenticação federada do para sua organização Atlas.
Observação
Você não pode utilizar o Atlas Kubernetes Operator para configurar umIdP do . Para configurar um IdP, consulte Configurar autenticação e autorização do sistema de banco de dados.
Após configurar seu IdP, você pode gerenciar os mapeamentos de função que autenticam usuários para utilizar seu IdP.
Para configurar a autenticação federada por meio do Atlas Kubernetes Operator, você deve especificar e atualizar o AtlasFederatedAuth Recurso Personalizado.
Quando você cria o recurso personalizado do AtlasFederatedAuth , o Atlas Kubernetes Operator utiliza o Recurso da API de Autenticação Federada para atualizar a configuração da organização para a federação. Na configuração da organização, você especifica as configurações de federação para sua organização Atlas, como mapeamentos de organização e função.
Pré-requisitos
Antes de usar o Atlas Kubernetes Operator para configurar a autenticação federada, você deve ter:
Um provedor de identidade existente (IdP) vinculado ao Atlas. Para saber como vincular um IdP ao Atlas, consulte Gerenciar fornecedores de identidade.
Um segredo com chaves de API que o Atlas Kubernetes Operator pode usar para se conectar ao Atlas. As chaves API devem ter o role
Organization Owner.Pelo menos um papel dentro de uma organização ativa do Atlas ou dos projetos na organização.
Atualizar uma configuração da organização
Para configurar a autenticação federada por meio do Atlas Kubernetes Operator, atualize a configuração da organização de sua federação especificando o AtlasFederatedAuth Recurso personalizado.
O exemplo abaixo configura um recurso personalizado do AtlasFederatedAuth que faz o seguinte:
Habilita a autenticação federada para a organização vinculada ao segredo especificado .
Adiciona
my-org-domain.comcomo um domínio aprovado.Habilita a restrição de domínio para a organização.
Desabilita a depuração para SSO.
Concede a função
Organization Memberaos usuários após a autenticação.Mapeia a função
Organization Ownerpara a organização e aplica o mapeamento de função a um grupo de IdP chamadoorg-admin.Mapeia as funções
Organization Project CreatoreProject Ownerpara um projeto na organização denominadodev-projecte aplica o mapeamento de role a um grupo de IdP denominadodev-team.
Para saber mais, consulte Parâmetros.
Observação
O spec.roleMappings.roleAssignments O parâmetro deve incluir pelo menos uma função da organização dentro da organização atual ou os projetos na organização.
Exemplo:
cat <<EOF | kubectl apply -f - apiVersion: atlas.mongodb.com/v1 kind: AtlasFederatedAuth metadata: name: atlas-default-federated-auth namespace: mongodb-atlas-system spec: enabled: true connectionSecretRef: name: my-org-secret namespace: mongodb-atlas-system domainAllowList: - my-org-domain.com domainRestrictionEnabled: true ssoDebugEnabled: false postAuthRoleGrants: - ORG_MEMBER roleMappings: - externalGroupName: org-admin roleAssignments: - role: ORG_OWNER - externalGroupName: dev-team roleAssignments: - role: ORG_GROUP_CREATOR - projectName: dev-project role: GROUP_OWNER EOF
Para verificar o status do processo de atualização, execute o seguinte comando:
kubectl get atlasfederatedauth -o yaml
O Atlas Kubernetes Operator retorna o recurso personalizado e inclui uma seção de status semelhante ao exemplo a seguir:
status: conditions: - type: Ready status: True - type: RolesReady status: True - type: UsersReady status: True
Para saber mais sobre os parâmetros disponíveis para este recurso, consulte AtlasFederatedAuth Recurso Personalizado.