Docs 菜单
Docs 主页
/
MongoDB Atlas
/
配置用户界面访问权限
/
身份验证
/
联合

从 PingOne 配置联合身份验证

在此页面上

  • 必需的访问权限
  • 先决条件
  • 步骤
  • 将 PingOne 配置为身份提供者
  • (可选)映射组织
  • (可选)配置高级联合身份验证选项
  • 使用登录 URL 登录 Atlas

本指南向您介绍如何使用 PingOne 作为 IdP配置联合身份验证。

集成 PingOne 和 Atlas 后,您可以使用公司的档案登录 Atlas 和其他 MongoDB 云服务。

必需的访问权限

如需管理联合身份验证,必须拥有一个或多个将联合设置委托给实例的组织的Organization Owner 访问权限。

先决条件

要将 PingOne 用作 Atlas 的IdP ,您必须拥有:

  • PingOne 订阅。 要获取订阅,请访问 PingOne。

  • 具有管理权限的 PingOne 用户。 要授予用户管理权限,请参阅 管理管理员 。或者,您可以使用在激活 PingOne 帐户时创建的默认管理用户。

步骤

将 PingOne 配置为身份提供者

使用 PingOne 管理控制台将 PingOne 配置为SAML IdP

1

下载 PingOne 源证书。

  1. 在您的 PingOne 帐户中,登录到 Administrator环境。

  2. 在顶部导航栏中,单击Setup

  3. 在二级导航栏中,单击Certificates 。 显示带有到期日期的PingOne Account Origination Certificate

  4. 单击到期日期右侧的展开箭头,然后单击Download

2

配置 SAML 应用程序。

  1. 在顶部导航栏中,单击Applications

  2. My Applications标签页中,单击Add Application下拉菜单并选择New SAML Application

  3. Application Name字段中输入用于标识应用程序的名称,例如“MongoDB Atlas”。

  4. Application Description字段中输入应用程序的描述。

  5. Category下拉菜单中选择应用程序的类别。

  6. 单击 Continue to Next Step(连接)。

3

打开 Federation Management Console(联合管理控制台)。

  1. 在 Atlas 中,前往 Organization Settings 页面。

    1. 如果尚未显示,组织从导航栏中的Organizations菜单。

    2. 单击 Organizations 菜单旁边的 Organization Settings 图标。

      显示“组织设置”页面。

  2. Federated Authentication Settings 中,单击 Open Federation Management App

4

向 Atlas 提供 PingOne 档案。

  1. 单击左侧窗格中的 Identity Providers。如果您以前已配置 IdP,请单击页面右上角的 Add Identity Provider,然后单击 Setup Identity Provider。如果您以前未配置 IdP,请单击 Setup Identity Provider

  2. Configure Identity Provider(配置 SAML)屏幕上输入以下信息:

    字段
    Configuration Name
    用于标识配置的描述性标签
    Issuer URI
    Fill with Placeholder Values
    Single Sign-On URL
    Fill with Placeholder Values
    Identity Provider Signature Certificate
    您在上一步中从 PingOne 收到的证书
    Request Binding
    HTTP POST
    Response Signature Algorithm
    SHA-256

  3. 单击Next按钮,查看 PingOne 配置的值。

5

在 PingOne 配置页面上,单击顶部的I have the SAML configuration ,然后输入 Atlas FMC中的值。

字段
Signing Certificate
您在上一步中从 PingOne 收到的证书
Protocol Version
SAML v2.0
Assertion Consumer Service
Atlas FMC中的Assertion Consumer Service URL
Entity ID
Atlas FMC中的Audience URI
Application URL
留空
Single Logout Endpoint
留空
Single Logout Response Endpoint
留空
Single Logout Binding Type
留空
Primary Verification Certificate
不要选择证书。
Encrypt Assertion
未选中
Signing
Sign Assertion
Signing Algorithm
RSA_SHA256
Force Re-authentication
未选中
6

在 PingOne 配置中,单击Continue to Next Step

7

添加应用程序属性。

  1. 对于每个属性,单击Add new attribute

  2. 为应用程序属性提供以下值:

    Application Attribute
    Identity Bridge Attribute or Literal Value
    As Literal
    SAML_SUBJECT
    Email
    未选中
    firstName
    First Name
    未选中
    lastName
    Last Name
    未选中

  3. 对于每个属性,单击Advanced

  4. 添加您的Name ID Format

    您可以采用以下格式:

    • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

    • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

  5. 单击 Continue to Next Step(连接)。

8

添加您希望启用联合身份验证的用户组,然后单击Continue to Next Step

9

Review Setup页面上,记下Issueridpid值,以便在后续步骤中使用。

10

在 Atlas FMC中,单击Finish 。 在Identity Providers屏幕上,单击之前创建的 PingOne 提供商的Modify

11

将之前分配的占位符值替换为以下值:

字段
Issuer URI
Issuer 您之前记下的值。
Single Sign-On URL
连接到单点登录的 URL: https://sso.connect.pingidentity.com/sso/idp/SSO.saml2?idpid=<IDP_ID> ,其中<IDP_ID>是您之前记下的idpid值。
12

单击Next ,然后单击Finish

13

在 PingOne 配置页面上,单击Finish

映射您的域

将域映射到 IdP 可以让 Atlas 知道域中用户应该应被定向到用于身份提供者配置的 Login URL

访问 Atlas 登录页面时,用户需要输入自己的电子邮件地址。 如果电子邮件域与 IdP 关联,则被发送到该 IdP 的登录 URL。

重要

您可以将单个域映射到多个身份提供程序。如果这样做,使用 MongoDB Cloud 控制台登录的用户将自动重定向到第一个映射到该域的匹配 IdP

要使用备用身份提供程序登录,用户必须:

  • 通过所需的 IdP 启动 MongoDB Cloud 登录,或

  • 使用与所需 IdP 关联的 Login URL 登录。

使用 Federation Management Console 将您的域映射到 IdP

1

打开 FMC

  1. 在 Atlas 中,前往 Organization Settings 页面。

    1. 如果尚未显示,组织从导航栏中的Organizations菜单。

    2. 单击 Organizations 菜单旁边的 Organization Settings 图标。

      显示“组织设置”页面。

  2. Manage Federation Settings 中,单击 Open Federation Management App

2

输入域 映射信息。

  1. 单击 Add a Domain(连接)。

  2. Domains 屏幕上,单击 Add Domain

  3. 为域映射输入以下信息:

    字段
    说明
    显示名称
    用于轻松识别域的标签。
    域名
    要映射的域名

  4. 单击 Next(连接)。

3

选择域验证方法。

注意

您可以选择一次验证方法。不能修改。 如需选择不同的验证方法,请删除域映射,然后重新创建。

根据您是通过上传 HTML 文件还是创建 DNS TXT 记录来验证域,选择相应的标签页:

上传包含验证密钥的 HTML 文件,验证您是否拥有自己的域。

  1. 单击 HTML File Upload(连接)。

  2. 单击 Next(连接)。

  3. 下载 Atlas 提供的 mongodb-site-verification.html 文件。

  4. HTML文件上传到域中的站点。 您必须能够访问权限位于<https://host.domain>/mongodb-site-verification.html的文件。

  5. 单击 Finish(连接)。

在您的域提供商系统中创建 DNS TXT 记录,以验证您是否拥有自己的域。每个 DNS 记录都会将特定的 Atlas 组织与特定的域关联起来。

  1. 单击 DNS Record(连接)。

  2. 单击 Next(连接)。

  3. 复制所提供的 TXT 记录。TXT 记录具有以下格式:

    mongodb-site-verification=<32-character string>

  4. 登录您的域名提供商(例如 GoDaddy.com 或 networksolutions.com)。

  5. 将 Atlas 提供的 TXT 记录添加到域。

  6. 返回 Atlas 并单击 Finish(完成)。

4

验证域。

Domains 屏幕显示您已映射到 IdP 的未验证域名和已验证域名。 要验证您的域,点击目标域的 Verify 按钮。Atlas 在屏幕顶部的横幅显示验证是否成功。

将域与身份提供商关联

成功验证域后,使用Federation Management Console将域与 PingOne 关联:

1

单击左侧导航栏中的 Identity Providers

2

对于要与域名关联的 IdP,请单击 Associated Domains(关联域名)旁边的 Edit(编辑)。

3

选择要与 IdP 关联的域。

4

单击 Confirm(连接)。

测试您的域映射

重要

开始测试前,复制并保存 IdPBypass SAML Mode URL。使用此 URL 可在您被 Atlas 组织锁定时绕过联合身份验证。

测试时,请将会话登录到 Federation Management Console,进一步防止锁定。

要了解有关 Bypass SAML Mode 的详情,请参阅旁路 SAML 模式

使用Federation Management Console测试您的域和 PingOne 之间的集成:

1

在专用浏览器窗口中,导航到 Atlas 登录页面。

2

输入用户名(通常是电子邮件地址)和已验证的域名。

例子

如果验证的域是 mongodb.com,请使用 username@mongodb.com 形式的电子邮件地址。

3

单击 Next(下一步)。如果域映射正确,则您会被重定向到 IdP 进行身份验证。身份验证成功后,您将被重定向回 Atlas。

注意

您可以直接导航到 IdP Login URL(登录 URL),绕过 Atlas 登录页面。

(可选)映射组织

使用 Federation Management Console 为域用户分配对特定 Atlas 组织的访问权限:

1

在 Atlas 中,转到 Organization Settings(项目设置)页面。

  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 单击 Organizations 菜单旁边的 Organization Settings 图标。

    显示“组织设置”页面。

2

打开 Federation Management Console(联合管理控制台)。

Manage Federation Settings 中,单击 Open Federation Management App

3

将一个组织连接到联合应用程序。

  1. 单击 View Organizations(连接)。

    Atlas 显示您属于 Organization Owner(组织所有者)的所有组织。

    尚未连接到联合应用程序的组织在 Actions(操作)列中具有 Connect(连接)按钮。

  2. 单击所需组织的 Connect(连接)按钮。

4

将一个身份提供程序应用于组织。

从管理控制台的 Organizations 屏幕:

  1. 单击要映射到一个 IdP 的组织的 Name(名称)。

  2. Identity Provider 屏幕上,单击 Apply Identity Provider

    Atlas 会将您引导至 Identity Providers(身份提供程序)页面,显示您已链接 Atlas 的所有 IdP

  3. 对于要应用到组织的 IdP,请单击 Add Organizations

  4. Apply Identity Provider to Organizations(将身份提供商应用于组织)模式中,选择此 IdP 适用的组织。

  5. 单击 Confirm(连接)。

5

将一个组织连接到联合应用程序。

  1. 单击左侧导航栏中的 Organizations

  2. Organizations 列表中,确保所需组织现已拥有所需的 Identity Provider

(可选)配置高级联合身份验证选项

您可以为联合身份验证配置以下高级选项, 以便更好地控制联邦用户和身份验证流程:

注意

以下联合身份验证高级选项要求您映射一个组织

使用登录 URL 登录 Atlas

您分配给 PingOne 应用程序的所有用户都可以使用其在Login URL上的 PingOne 凭证登录 Atlas。 用户可以访问您映射到IdP的组织。

重要

您可以将单个域映射到多个身份提供程序。如果这样做,使用 MongoDB Cloud 控制台登录的用户将自动重定向到第一个映射到该域的匹配 IdP

要使用备用身份提供程序登录,用户必须:

  • 通过所需的 IdP 启动 MongoDB Cloud 登录,或

  • 使用与所需 IdP 关联的 Login URL 登录。

如果您选择默认组织角色,则使用Login URL登录Atlas的新用户将拥有您指定的角色。

后退

Okta

来年

高级选项