Docs 菜单
Docs 主页
/
MongoDB Atlas
/
配置用户界面访问权限
/
身份验证
/
联合

从 Google Workspace 配置联合身份验证

在此页面上

  • 必需的访问权限
  • 先决条件
  • 步骤
  • 将 Google Workspace 配置为身份提供者
  • (可选)映射组织
  • (可选)配置高级联合身份验证选项
  • 使用登录 URL 登录 Atlas

本指南介绍如何使用 Google Workspace 作为 IdP 配置联邦身份验证。

集成 Google Workspace 和 Atlas 后, 您可以使用公司档案登录 Atlas 和其他 MongoDB 云服务。

必需的访问权限

如需管理联合身份验证,必须拥有一个或多个将联合设置委托给实例的组织的Organization Owner 访问权限。

先决条件

要将 Google Workspace 作为 Atlas 的 IdP,您必须拥有:

  • Google Workspace 订阅。 要获取订阅,请访问 Google Workspace 门户。

  • 有管理权限的 Google Workspace 用户。要授予用户管理权限,请参阅使用户成为管理员。或者,您也可以使用在激活 Google Workspace 帐户时创建的默认管理用户。

步骤

将 Google Workspace 配置为身份提供者

使用 Google Workspace 管理控制台,将 Google Workspace 配置为 SAML IdP

1

将新应用程序添加到您的 Google Workspace 帐号。

  1. 在您的 Google Workspace 管理员帐户中,打开 Apps 下拉菜单,然后单击 Web and mobile apps

  2. 打开 Add App(添加应用程序)下拉菜单,并单击 Add custom SAML app(添加自定义 SAML 应用程序)。

  3. App name(应用程序名称)字段中输入用于标识应用程序的名称,例如“MongoDB Cloud”。

  4. 如果需要,请选择 App icon(应用程序图标)。

  5. 单击 Continue 按钮。

2

从 Google Workspace 获取 SSO 凭证。

  1. 导航至 Option 2 部分。

  2. 复制 SSO URLEntity ID(实体 ID),并下载所提供的 Certificate(证书)。FMC 将在后续步骤使用这些证书。请保持此页面打开状态。

3

在 Atlas 中,转到 Organization Settings(项目设置)页面。

  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 单击 Organizations 菜单旁边的 Organization Settings 图标。

    显示“组织设置”页面。

4

打开 Federation Management Console(联合管理控制台)。

Manage Federation Settings 中,单击 Open Federation Management App

5

向 Atlas 提供 Google Workspace 凭证。

  1. 单击左侧窗格中的 Identity Providers。如果您以前已配置 IdP,请单击页面右上角的 Add Identity Provider,然后单击 Setup Identity Provider。如果您以前未配置 IdP,请单击 Setup Identity Provider

  2. Create Identity Provider(配置 SAML)屏幕上输入以下信息:

    字段
    Configuration Name
    标识配置的描述性名称。
    Issuer URI
    Entity ID ,上一步从 Google Workspace 收到的。
    Single Sign-On URL
    SSO URL ,上一步从 Google Workspace 收到的。
    Identity Provider Signature Certificate

    .cer 文件,上一步从 Google Workspace 收到的。

    您可以执行以下任一操作:

    • 从计算机上传证书

    • 将证书的内容粘贴到文本框中

    Request Binding
    HTTP POST
    Response Signature Algorithm
    SHA-256

  1. 单击 Next 按钮。

6

为 Google Workspace 获取 Atlas 元数据。

  1. FMC 中,复制 Assertion Consumer Service URL(断言消费者服务 URL)和 Audience URI(受众 URI)。

  2. 单击 Finish 按钮。

  3. 复制 Google Workspace 为应用程序创建的 IdP 标签上的 Login URL(登录 URL)。

7

向 Google Workspace 提供 Atlas 元数据。

  1. 返回 Google Workspace 配置页面,单击 Continue(继续)按钮。

  2. 使用以下值填充数据字段:

    字段
    ACS URL
    Atlas 提供的 Assertion Consumer Service URL(断言消费者服务 URL)。
    Entity ID
    Atlas 提供的 Audience URI(断言消费者服务 URL)。
    Start URL
    Atlas 提供的 Login URL(断言消费者服务 URL)。
    Signed Response
    选中此复选框。
    Name ID Format
    UNSPECIFIED
    Name ID
    Basic Information > Primary Email

  3. 单击 Continue 按钮。

8

配置 Google Workspace 属性。

  1. 在 Google Workspace 中,单击每个值对的 Add Mapping(添加映射)按钮,将以下每个值对添加为不同的映射。App attribute(应用程序属性)值区分大小写。

    Google 目录属性
    应用属性
    基本信息 > 名字
    firstName
    基本信息 > 姓氏
    lastName

  2. 如果正在配置角色映射,请继续执行下一步。否则,请单击 Finish(结束)按钮,然后执行通过 Google Workspace 启用用户访问权限中的步骤。

9

(可选)配置角色映射。

  1. 要在 Google Workspace 中配置角色映射,请在 Group membership (optional)(群组成员资格(可选))部分创建单个群组属性,如下所示:

    Google 群组
    Atlas Search并选择要映射到Atlas角色的所有 Google 群组,确保它们都包含在一行中。 有关此属性的更多信息,请参阅 关于群组成员资格映射。
    应用属性
    memberOf

  2. 单击 Finish 按钮。

10

通过 Google Workspace 启用用户访问。

  1. 单击 User Access(用户访问)面板右上角的箭头将其展开。

  2. 启用用户访问。您可以执行以下任一操作:

    • Service status(服务状态)窗格中单击 ON for everyone(为所有人打开),为 Google Workspace 中的所有用户启用联合身份验证。

    • 从左侧可折叠菜单选择要启用联合身份验证的特定GroupsOrganizational Units 。 Google Workspace 帮助页面提供了有关管理 群组 的更多信息 和 组织单位。

映射您的域

将域映射到 IdP 可以让 Atlas 知道域中用户应该应被定向到用于身份提供者配置的 Login URL

访问 Atlas 登录页面时,用户需要输入自己的电子邮件地址。 如果电子邮件域与 IdP 关联,则被发送到该 IdP 的登录 URL。

重要

您可以将单个域映射到多个身份提供程序。如果这样做,使用 MongoDB Cloud 控制台登录的用户将自动重定向到第一个映射到该域的匹配 IdP

要使用备用身份提供程序登录,用户必须:

  • 通过所需的 IdP 启动 MongoDB Cloud 登录,或

  • 使用与所需 IdP 关联的 Login URL 登录。

使用 Federation Management Console 将您的域映射到 IdP

1

打开 FMC

  1. 在 Atlas 中,前往 Organization Settings 页面。

    1. 如果尚未显示,组织从导航栏中的Organizations菜单。

    2. 单击 Organizations 菜单旁边的 Organization Settings 图标。

      显示“组织设置”页面。

  2. Manage Federation Settings 中,单击 Open Federation Management App

2

输入域 映射信息。

  1. 单击 Add a Domain(连接)。

  2. Domains 屏幕上,单击 Add Domain

  3. 为域映射输入以下信息:

    字段
    说明
    显示名称
    用于轻松识别域的标签。
    域名
    要映射的域名

  4. 单击 Next(连接)。

3

选择域验证方法。

注意

您可以选择一次验证方法。不能修改。 如需选择不同的验证方法,请删除域映射,然后重新创建。

根据您是通过上传 HTML 文件还是创建 DNS TXT 记录来验证域,选择相应的标签页:

上传包含验证密钥的 HTML 文件,验证您是否拥有自己的域。

  1. 单击 HTML File Upload(连接)。

  2. 单击 Next(连接)。

  3. 下载 Atlas 提供的 mongodb-site-verification.html 文件。

  4. HTML文件上传到域中的站点。 您必须能够访问权限位于<https://host.domain>/mongodb-site-verification.html的文件。

  5. 单击 Finish(连接)。

在您的域提供商系统中创建 DNS TXT 记录,以验证您是否拥有自己的域。每个 DNS 记录都会将特定的 Atlas 组织与特定的域关联起来。

  1. 单击 DNS Record(连接)。

  2. 单击 Next(连接)。

  3. 复制所提供的 TXT 记录。TXT 记录具有以下格式:

    mongodb-site-verification=<32-character string>

  4. 登录您的域名提供商(例如 GoDaddy.com 或 networksolutions.com)。

  5. 将 Atlas 提供的 TXT 记录添加到域。

  6. 返回 Atlas 并单击 Finish(完成)。

4

验证域。

Domains 屏幕显示您已映射到 IdP 的未验证域名和已验证域名。 要验证您的域,点击目标域的 Verify 按钮。Atlas 在屏幕顶部的横幅显示验证是否成功。

将域与身份提供商关联

成功验证域后,使用 Federation Management Console(联合管理控制台)将域与 Azure AD 关联:

1

单击左侧导航栏中的 Identity Providers

2

对于要与域名关联的 IdP,请单击 Associated Domains(关联域名)旁边的 Edit(编辑)。

3

选择要与 IdP 关联的域。

4

单击 Confirm(连接)。

测试您的域映射

重要

开始测试前,复制并保存 IdPBypass SAML Mode URL。使用此 URL 可在您被 Atlas 组织锁定时绕过联合身份验证。

测试时,请将会话登录到 Federation Management Console,进一步防止锁定。

要了解有关 Bypass SAML Mode 的详情,请参阅旁路 SAML 模式

使用 Federation Management Console(联合管理控制台)来测试您的域和 Google Workspace 之间的集成:

1

在专用浏览器窗口中,导航到 Atlas 登录页面。

2

输入用户名(通常是电子邮件地址)和已验证的域名。

例子

如果验证的域是 mongodb.com,请使用 username@mongodb.com 形式的电子邮件地址。

3

单击 Next(下一步)。如果域映射正确,则您会被重定向到 IdP 进行身份验证。身份验证成功后,您将被重定向回 Atlas。

注意

您可以直接导航到 IdP Login URL(登录 URL),绕过 Atlas 登录页面。

(可选)映射组织

使用 Federation Management Console 为域用户分配对特定 Atlas 组织的访问权限:

1

在 Atlas 中,转到 Organization Settings(项目设置)页面。

  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 单击 Organizations 菜单旁边的 Organization Settings 图标。

    显示“组织设置”页面。

2

打开 Federation Management Console(联合管理控制台)。

Manage Federation Settings 中,单击 Open Federation Management App

3

将一个组织连接到联合应用程序。

  1. 单击 View Organizations(连接)。

    Atlas 显示您属于 Organization Owner(组织所有者)的所有组织。

    尚未连接到联合应用程序的组织在 Actions(操作)列中具有 Connect(连接)按钮。

  2. 单击所需组织的 Connect(连接)按钮。

4

将一个身份提供程序应用于组织。

从管理控制台的 Organizations 屏幕:

  1. 单击要映射到一个 IdP 的组织的 Name(名称)。

  2. Identity Provider 屏幕上,单击 Apply Identity Provider

    Atlas 会将您引导至 Identity Providers(身份提供程序)页面,显示您已链接 Atlas 的所有 IdP

  3. 对于要应用到组织的 IdP,请单击 Add Organizations

  4. Apply Identity Provider to Organizations(将身份提供商应用于组织)模式中,选择此 IdP 适用的组织。

  5. 单击 Confirm(连接)。

5

将一个组织连接到联合应用程序。

  1. 单击左侧导航栏中的 Organizations

  2. Organizations 列表中,确保所需组织现已拥有所需的 Identity Provider

(可选)配置高级联合身份验证选项

您可以为联合身份验证配置以下高级选项, 以便更好地控制联邦用户和身份验证流程:

注意

以下联合身份验证高级选项要求您映射一个组织

使用登录 URL 登录 Atlas

您分配给 Google Workspace 应用程序的所有用户都可以使用 Login URL(登录 URL)上的 Google Workspace 凭证登录 Atlas。用户可以访问您映射到 IdP 的组织。

重要

您可以将单个域映射到多个身份提供程序。如果这样做,使用 MongoDB Cloud 控制台登录的用户将自动重定向到第一个映射到该域的匹配 IdP

要使用备用身份提供程序登录,用户必须:

  • 通过所需的 IdP 启动 MongoDB Cloud 登录,或

  • 使用与所需 IdP 关联的 Login URL 登录。

如果您选择默认组织角色,则使用 Login URL(登录 URL)登录 Atlas 的新用户将拥有您指定的角色

后退

Microsoft Entra ID

来年

Okta