Docs 菜单
Docs 主页
/
MongoDB Atlas
/
配置用户界面访问权限
/
身份验证
/
联合

管理 Atlas 角色到 IdP 群组的映射

在此页面上

您可以将 IdP 群组映射到 Atlas 角色。这简化了授权设置。您可以为一个 IdP 群组授予一个或多个角色,以简化他们对 Atlas 组织、项目和集群的访问。

注意

如果为 IdP 组配置了角色映射,则无法在 Access Manager 页面上编辑特定用户的角色。

角色映射进程

  1. Atlas 在您登录时进行角色映射。

  2. Atlas 将名为 memberOfIdP 群组与为您的组织定义的角色映射进行比较。这些组织必须使用用户进行身份验证时使用的相同的 IdP

    • 如果您定义了角色映射,则 Atlas 会将映射的角色 应用于联邦用户。

    • Atlas 在以下情况下应用默认角色:

      • 您没有定义的角色映射

      • 角色映射将导致用户没有任何角色

    • 组织角色映射定义联合用户的 Atlas 访问权限。如果联合用户登录但不属于映射到所需组织的 IdP 群组,则 Atlas 会删除此用户在此组织及其项目中的映射角色。联合用户可能仍有其他 IdP 群组。

      例子

      考虑用户属于管理员 IdP 群组的场景。您已为组织 A 中的 Organization Owner 配置管理员角色映射。如果您从管理员 IdP 群组中删除该用户,Atlas 会在该用户下次登录时删除该用户的 Organization Owner 角色。

    • 每个组织至少要有一个用户拥有 Organization Owner 角色。如果删除角色会删除组织中的最后一个所有者,则删除操作将失败。

必需的访问权限

如需管理联合身份验证,必须拥有一个或多个组织的 Organization Owner 访问权限,这些组织会将联合设置委托给实例。

先决条件

若要完成本教程,必须具备:

  • 创建 IdP 应用程序。此应用程序必须拥有一个名为 memberOf的 SAML 属性。此属性将映射到群组的 IdP 源属性。此属性将 IdP 群组与 Atlas 角色关联。

  • IdP 链接到 Atlas

  • Atlas 组织映射到 IdP

  • IdP 中至少创建一个群组。

  • IdP 应用程序中的至少一个用户添加到您创建的群组中。

在您的组织及其项目中添加角色映射

1

在 Atlas 中,前往 Organization Settings 页面。

  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 单击 Organizations 菜单旁边的 Organization Settings 图标。

    显示“组织设置”页面。

2

打开 Federation Management Console

Manage Federation Settings 中,单击 Open Federation Management App

3

选择要在其中映射角色的组织。

  1. 单击 Manage Organizations(连接)。

    Atlas 在表格中显示您属于 Organization Owner 的所有组织。

    • 连接到联合身份验证的组织在 Actions(操作)列显示

    • 未连接到联合身份验证的组织在 Actions(操作)列中具有 Connect(连接)按钮。

  2. 要映射组织中的角色:

    1. 单击 Connect(连接),根据需要为该组织启用联合身份验证。

    2. 单击 并选择 View(查看)。

4

前往 Create Role Mapping For Your Users 页面。

  1. 单击 Create Role Mappings(连接)。

    Atlas 会显示 Organization Role Mappings 页面。

  2. 单击 Create A Role Mapping(连接)。

    Atlas 会显示 Create Role Mapping For Your Users 页面。

5

将 Atlas 组织角色分配给所需的 IdP 群组。

Map Group and Assign Roles(映射群组和分配角色)阶段:

部分
操作

输入群组名称

在此字段中键入 IdP 中显示的群组名称。Atlas 将此群组分配给 Atlas 角色。

如果 IdP 群组不存在,则无法通过输入新的群组名来创建新的 IdP 群组。

如果您将 Microsoft Entra ID 作为 IdP 并选择 Group Id 以作为源属性,请在该字段中输入组的对象 ID,而不是组的名称。要了解更多信息,请参阅将 Microsoft Entra ID 配置为身份提供程序

分配组织角色

点击要分配给 IdP群组的每个 Atlas 组织角色。

  • 如果您不需要为此 IdP 群组分配任何 Atlas 项目角色,则点击 Finish。您可以跳过此过程的其余部分。

  • 如果需要为该 IdP 群组分配 Atlas 项目角色,则点击 Next

6

将 Atlas 项目角色分配给所需的 IdP 组。

Assign Project Roles 阶段显示一个表格。此表格包括项目名称以及可为这些项目分配的角色。对于每个项目,点击要分配给 IdP 群组的项目角色。

  • 如果您无需查看分配给此 IdP 群组的角色,则点击 Finish。您可以跳过此过程的其余部分。

  • 如果需要查看分配给此 IdP 群组的角色,则点击 Next

7

验证已将哪些 Atlas 角色分配给所需的 IdP 群组。

Review and Confirm 阶段显示分配给 IdP 群组的组织和项目角色。

  • 如果同意分配给此 IdP 群组的角色,则点击 Finish

  • 如果您需要更改分配给此 IdP 群组的角色,则点击 Edit。Atlas 返回到 Map Group and Assign Roles 阶段。

编辑组织及其项目中的角色映射

1

在 Atlas 中,前往 Organization Settings 页面。

  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 单击 Organizations 菜单旁边的 Organization Settings 图标。

    显示“组织设置”页面。

2

打开 Federation Management Console

Manage Federation Settings 中,单击 Open Federation Management App

3

选择要编辑角色映射的组织。

  1. 单击 Manage Organizations(连接)。

    Atlas 在表格中显示您属于 Organization Owner 的所有组织。

  2. 点击所需 IdP 旁边的 Group Name 并选择 View

4

前往 Create Role Mapping For Your Users 页面。

  1. 单击 Create Role Mappings(连接)。

    Atlas 会显示 Organization Role Mappings 页面。

  2. 点击要更改 IdP 群组右侧的 Edit

    Atlas 会显示 Edit Your Role Mapping For This Organization 页面。

5

将 Atlas 组织角色分配给所需的 IdP 群组。

Map Group and Assign Roles(映射群组和分配角色)阶段:

部分
操作

输入群组名称

在此字段中键入 IdP 中显示的群组名称。Atlas 将此群组分配给 Atlas 角色。

如果 IdP 群组不存在,则无法通过输入新的群组名来创建新的 IdP 群组。

如果您将 Microsoft Entra ID 作为 IdP 并选择 Group Id 以作为源属性,请在该字段中输入组的对象 ID,而不是组的名称。要了解更多信息,请参阅将 Microsoft Entra ID 配置为身份提供程序

分配组织角色

点击要分配给 IdP群组的每个 Atlas 组织角色。

  • 如果您不需要为此 IdP 群组分配任何 Atlas 项目角色,则点击 Finish。您可以跳过此过程的其余部分。

  • 如果需要为该 IdP 群组分配 Atlas 项目角色,则点击 Next

6

将 Atlas 项目角色分配给所需的 IdP 组。

Assign Project Roles 阶段显示一个表格。此表格包括项目名称以及可为这些项目分配的角色。对于每个项目,点击要分配给 IdP 群组的项目角色。

  • 如果您无需查看分配给此 IdP 群组的角色,则点击 Finish。您可以跳过此过程的其余部分。

  • 如果需要查看分配给此 IdP 群组的角色,则点击 Next

7

验证已将哪些 Atlas 角色分配给所需的 IdP 群组。

Review and Confirm 阶段显示分配给 IdP 群组的组织和项目角色。

  • 如果同意分配给此 IdP 群组的角色,则点击 Finish

  • 如果您需要更改分配给此 IdP 群组的角色,则点击 Edit。Atlas 返回到 Map Group and Assign Roles 阶段。

删除组织及其项目中的一个角色映射

1

在 Atlas 中,前往 Organization Settings 页面。

  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 单击 Organizations 菜单旁边的 Organization Settings 图标。

    显示“组织设置”页面。

2

打开 Federation Management Console

Manage Federation Settings 中,单击 Open Federation Management App

3

选择要在其中映射角色的组织。

  1. 单击 Manage Organizations(连接)。

    Atlas 在表格中显示您属于 Organization Owner 的所有组织。

    • 连接到联合身份验证的组织在 Actions(操作)列显示

    • 未连接到联合身份验证的组织在 Actions(操作)列中具有 Connect(连接)按钮。

  2. 要映射组织中的角色:

    1. 单击 Connect(连接),根据需要为该组织启用联合身份验证。

    2. 单击 并选择 View(查看)。

4

前往 Organization Role Mappings 页面。

  1. 单击 Create Role Mappings(连接)。

    Atlas 会显示 Organization Role Mappings 页面。

  2. 点击要删除 IdP 群组右侧的 Delete

    Atlas 会显示 Delete role mappings for this group(为此群组删除角色映射)模态框。

  3. 点击 Delete,以从此 IdP 群组中删除所有角色映射。

    如果不想删除所有角色映射,请单击 Cancel

后退

组织

来年

Microsoft Entra ID