Gerenciar roles do Mapeamento Cloud Manager para grupos IdP
Nesta página
- A autenticação OAuth 2.0 para acesso programático ao Cloud Manager está disponível como um recurso de visualização.
- O recurso e a documentação correspondente podem mudar a qualquer momento durante o período de Pré-visualização. Para usar a 2.0 autenticação OAuth, crie uma conta de serviço para usar em suas solicitações para a API pública do Cloud Manager .
Você pode mapear seus grupos deIdP do para roles do Cloud Manager. Isso simplifica a configuração da autorização. Você pode conceder a um grupo de IdP uma ou mais roles para simplificar seu acesso a organização, projeto e clusters do Cloud Manager.
Observação
Você não pode editar papéis para usuários específicos na página Access Manager se você configurar mapeamentos de papel para grupos IdP.
Processo de mapeamento de função
O Cloud Manager aplica os mapeamentos de função quando você faz login.
O Cloud Manager compara os grupos IdP denominados memberOf com os mapeamentos de funções definidos para sua organização. Essas organizações devem usar o mesmo IdP que o usuário fez para autenticar.
O Cloud Manager aplica os roles mapeados aos usuários federados se você definiu os mapeamentos de role.
O Cloud Manager aplica o role padrão se:
Você não definiu mapeamentos de função, ou
Mapeamentos de role resultariam em um usuário sem quaisquer roles.
Os mapeamentos do papel da organização definem o acesso do Cloud Manager dos usuários federados. Se um usuário federado fizer login, mas não pertencer a um grupo IdP mapeado para uma organização desejada, o Cloud Manager removerá a role mapeada do usuário nessa organização e em seus projetos. O usuário federado ainda pode pertencer a outros grupos IdP .
Exemplo
Considere um cenário em que um usuário pertença ao grupo de IdP do administrador . Você configurou um mapeamento de papel de administrador para o
Organization Owner
na organização A. Se você remover esse usuário do grupo de IdP do administrador , o Cloud Manager excluirá a roleOrganization Owner
desse usuário da próxima vez que ele fizer login.Cada projeto deve ter pelo menos um usuário que tenha o role
Project Owner
. O Cloud Manager não removerá uma role se a remoção da role remover o último proprietário de um projeto.Toda organização deve ter pelo menos um usuário que tenha o role
Organization Owner
. O Cloud Manager não removerá uma role se a remoção da role remover o último proprietário de uma organização.
Pré-requisitos
Para concluir este tutorial, você deve ter:
Criou um aplicativo IdP . Este aplicativo deve ter um atributo SAML nomeado para memberOf. Mapeie este atributo para os atributos de origem IdP para grupos. Este atributo vincula os grupos IdP com seus papéis do MongoDB Atlas.
Vinculou um IdP ao Cloud Manager.
Mapeou uma organização para o seu IdP.
Criado pelo menos um grupo em seu IdP.
Adicionou pelo menos um usuário em seu aplicativo IdP a um grupo que você criou.
Adicionar mapeamentos de função em sua organização e seus projetos
No MongoDB Cloud Manager, váGo para a Organization Settings página.
Se ainda não estiver exibido, selecione sua organização desejada no Menu Organizations na barra de navegação.
Clique no ícone Organization Settings próximo ao menu Organizations.
A página Configurações da organização é exibida.
Escolha uma organização na qual você deseja mapear papéis.
Clique em Manage Organizations.
O Cloud Manager exibe todas as organizações onde você é um
Organization Owner
em uma tabela.As organizações conectadas à autenticação federada são exibidas na coluna Actions.
As organizações não conectadas à autenticação federada exibem Connect na coluna Actions .
Para mapear papéis em uma organização:
Clique em Connect para ativar a autenticação federada para essa organização, se necessário.
Clique em e selecione View.
Atribua funções da organização Cloud Manager ao grupo de IdP desejado. No estágio Map Group and Assign Roles :
Seção | em ação |
---|---|
Inserir nome do grupo | Digite o nome do grupo conforme exibido no seu IdP neste campo. O Cloud Manager atribui esse grupo à sua função de Cloud Manager. Se o grupo IdP não existir, você não poderá inserir um novo nome de grupo para criar um novo grupo IdP. Se você usar o Azure como seu IdP e selecionou Group Id como seu atributo de origem, insira o ID do objeto do grupo nesse campo em vez do nome do grupo. Para saber mais, consulte :ref:cm-configure-azuread-idp'. |
Atribuir funções da organização | Clique em cada função da organização do Cloud Manager que você deseja atribuir ao grupo de IdP . |
Se você não precisar atribuir quaisquer papéis de projeto do Cloud Manager para este grupo IdP , clique em Finish. Você pode ignorar o restante deste procedimento.
Se você precisar atribuir funções de projeto do Cloud Manager a esse grupo de IdP , clique em Next.
Atribua roles de projeto ao grupo IdP desejado.
O estágio Assign Project Roles exibe uma tabela. Esta tabela inclui nomes de projetos e as funções que você pode atribuir a esses projetos. Para cada projeto, clique nas funções do projeto que você deseja atribuir ao grupo IdP.
Se não necessitar de rever as funções atribuídas a este grupo de IdP , clique em Finish. Você pode pular o restante deste procedimento.
Se você precisar revisar as funções atribuídas a esse grupo de IdP, clique em Next.
Verifique quais funções foram atribuídas ao grupo de IdP desejado.
O estágio Review and Confirm exibe as funções da organização e do projeto atribuídas ao grupo IdP.
Se você concordar com as funções atribuídas a este grupo IdP, clique em Finish.
Se você precisar alterar os papéis atribuídos a este grupo IdP , clique . Cloud Manager retorna ao estágio Map Group and Assign Roles , descrito na etapa 4.
Editar mapeamentos de funções na sua organização e em seus projetos
No MongoDB Cloud Manager, váGo para a Organization Settings página.
Se ainda não estiver exibido, selecione sua organização desejada no Menu Organizations na barra de navegação.
Clique no ícone Organization Settings próximo ao menu Organizations.
A página Configurações da organização é exibida.
Escolha uma organização na qual você deseja editar mapeamentos de função.
Clique em Manage Organizations.
O Cloud Manager exibe todas as organizações onde você é um
Organization Owner
em uma tabela.Clique em ao lado do IdP Group Name desejado e selecione View.
Atribua funções da organização Cloud Manager ao grupo de IdP desejado. No estágio Map Group and Assign Roles :
Seção | em ação |
---|---|
Inserir nome do grupo | Digite o nome do grupo conforme exibido no seu IdP neste campo. O Cloud Manager atribui esse grupo à sua função de Cloud Manager. Se o grupo IdP não existir, você não poderá inserir um novo nome de grupo para criar um novo grupo IdP. Se você usar o Azure como seu IdP e selecionou Group Id como seu atributo de origem, insira o ID do objeto do grupo nesse campo em vez do nome do grupo. Para saber mais, consulte :ref:cm-configure-azuread-idp'. |
Atribuir funções da organização | Clique em cada função da organização do Cloud Manager que você deseja atribuir ao grupo de IdP . |
Se você não precisar atribuir quaisquer papéis de projeto do Cloud Manager para este grupo IdP , clique em Finish. Você pode ignorar o restante deste procedimento.
Se você precisar atribuir funções de projeto do Cloud Manager a esse grupo de IdP , clique em Next.
Atribua roles de projeto ao grupo IdP desejado.
O estágio Assign Project Roles exibe uma tabela. Esta tabela inclui nomes de projetos e as funções que você pode atribuir a esses projetos. Para cada projeto, clique nas funções do projeto que você deseja atribuir ao grupo IdP.
Se não necessitar de rever as funções atribuídas a este grupo de IdP , clique em Finish. Você pode pular o restante deste procedimento.
Se você precisar revisar as funções atribuídas a esse grupo de IdP, clique em Next.
Verifique quais funções foram atribuídas ao grupo de IdP desejado.
O estágio Review and Confirm exibe as funções da organização e do projeto atribuídas ao grupo IdP.
Se você concordar com as funções atribuídas a este grupo IdP, clique em Finish.
Se você precisar alterar os papéis atribuídos a este grupo IdP , clique . Cloud Manager retorna ao estágio Map Group and Assign Roles , descrito na etapa 4.
Remover um mapeamento de função em sua organização e seus projetos
No MongoDB Cloud Manager, váGo para a Organization Settings página.
Se ainda não estiver exibido, selecione sua organização desejada no Menu Organizations na barra de navegação.
Clique no ícone Organization Settings próximo ao menu Organizations.
A página Configurações da organização é exibida.
Escolha uma organização na qual você deseja mapear papéis.
Clique em Manage Organizations.
O Cloud Manager exibe todas as organizações onde você é um
Organization Owner
em uma tabela.As organizações conectadas à autenticação federada são exibidas na coluna Actions.
As organizações não conectadas à autenticação federada exibem Connect na coluna Actions .
Para mapear papéis em uma organização:
Clique em Connect para ativar a autenticação federada para essa organização, se necessário.
Clique em e selecione View.
Navegue até a Organization Role Mappings página.
Clique em Create Role Mappings.
O Cloud Manager exibe a página Organization Role Mappings .
Clique em à direita do grupo IdP que você deseja remover.
O Cloud Manager exibe o modal Delete role mappings for this group .
Clique em Delete para remover todos os mapeamentos de função deste grupo IdP.
Se você não quiser remover todos os mapeamentos de função, clique em Cancel.