Docs 菜单
Docs 主页
/
MongoDB Cloud Manager
/
安全性
/
配置联合身份验证

从 Otka 配置联合身份验证

在此页面上

  • 先决条件
  • 步骤
  • 将 Okta 配置为身份提供商
  • (可选)映射组织
  • (可选)配置高级联合身份验证选项
  • 使用登录 URL 登录 Cloud Manager

本指南介绍如何使用 Okta 作为 IdP 配置联合身份验证。

集成 Okta 和 Cloud Manager 后,您可以使用公司的凭证登录 Cloud Manager 和其他 MongoDB 云服务。

注意

如果您使用的是 Okta 的内置MongoDB Cloud应用,则可以使用 Okta 的文档。

如果要创建自己的 SAML 应用,请按照此处所述的步骤操作。

先决条件

要将 Okta 用作 Cloud Manager 的IdP ,您必须具备:

  • 一个 Okta 帐户。

  • 自定义的可路由域名。

步骤

在以下过程中,为联合管理控制台打开一个浏览器标签页并为 Okta 帐户打开一个标签页会很有帮助。

将 Okta 配置为身份提供商

1

下载 Okta 源证书。

  1. 在 Okta 帐户中,单击右上角的 Admin以访问管理员环境。

  2. 在左侧窗格中,导航到 Applications(应用程序)-> Applications (应用程序)。

  3. 单击 Create App Integration。为 Sign-in method 选择 SAML 2.0,然后点击 Next

  4. App name(应用名称)文本字段中填写所需的应用程序名称。

  5. 可选:添加徽标图片并设置应用可见性。单击 Next(下一步)。

  6. Configure SAML(配置 SAML)屏幕上输入以下信息:

    字段
    Single sign-on URL
    http://localhost
    Audience URI
    urn:idp:default

    重要

    这些都是占位符值,用于生产环境。您将在后面的步骤中予以更换。

    将其他字段留空或者设置为它们的默认值,然后单击页面底部的 Next(下一步)。

  7. Feedback 界面选择 I'm an Okta customer adding an internal app,然后单击 Finish

  8. 在页面底部的 SAML Signing Certificates(SAML 签名证书)标题下方,找到 Status(状态)为 Active(活动)的最新证书,也就是您刚刚创建的证书。

    单击 Actions(操作),然后从下拉菜单中选择 Download certificate(下载证书)。生成的证书是一个 .cert 文件。您必须将其转换为 .pem 证书,才能稍后在此过程中使用。要执行此操作,请打开您选择的终端并运行以下命令:

    openssl x509 -in path/to/mycert.crt -out path/to/mycert.pem -outform PEM
2

MongoDB Cloud ManagerGo在MongoDBOrganization Settings Cloud Manager中,Go 页面。

  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 单击 Organizations 菜单旁边的 Organization Settings 图标。

    显示“组织设置”页面。

3

打开 Federation Management Console(联合管理控制台)。

Federated Authentication Settings 中,单击 Open Federation Management App

4

向 MongoDB Cloud Manager 提供 Okta 档案。

  1. 单击左侧窗格中的 Identity Providers。如果您以前已配置 IdP,请单击页面右上角的 Add Identity Provider,然后单击 Setup Identity Provider。如果您以前未配置 IdP,请单击 Setup Identity Provider

  2. Configure Identity Provider(配置 SAML)屏幕上输入以下信息:

    字段
    Configuration Name
    用于标识配置的描述性标签
    Issuer URI
    Fill with Placeholder Values
    Single Sign-On URL
    Fill with Placeholder Values
    Identity Provider Signature Certificate
    您在上一步从 Okta 收到的证书
    Request Binding
    HTTP POST
    Response Signature Algorithm
    SHA-256

  3. 单击 Next(下一步)按钮,以查看 Okta 配置的值。

  4. 单击 Finish(连接)。

5

配置 SAML 集成。

  1. 在 Okta 帐户中,返回到 SAML 应用程序页面,并确保选择 General(常规)标签页。

  2. SAML Settings(SAML 设置)窗格中,单击 Edit(编辑)。

    General Settings 页面上,单击 Next

  3. Configure SAML(配置 SAML)屏幕上输入以下信息:

    Okta 数据字段
    Single sign on URL

    Assertion Consumer Service URL 从 MongoDB Cloud Manager FMC。

    复选框:

    • Check Use this for Recipient URL and Destination URL.

    • 清除 Allow this app to request other SSO URLs(允许此应用请求其他 SSO URL)。

    Audience URI (SP Entity ID)
    Audience URI 从 MongoDB Cloud Manager FMC。
    Default RelayState

    (可选)将一个 RelayState URL 添加到您的 IdP 以将用户转到所选的 URL,并在登录后避免不必要的重定向。您可以使用:

    目的地
    RelayState URL
    MongoDB MongoDB Cloud Manager
    在 MongoDB Cloud Manager Federation Management App中为提供商配置生成的Login URL
    MongoDB 支持门户
    https://auth.mongodb.com/app/salesforce/exk1rw00vux0h1iFz297/sso/saml
    MongoDB University
    https://auth.mongodb.com/home/mongodb_thoughtindustriesstaging_1/0oadne22vtcdV5riC297/alndnea8d6SkOGXbS297
    MongoDB 社区论坛
    https://auth.mongodb.com/home/mongodbexternal_communityforums_3/0oa3bqf5mlIQvkbmF297/aln3bqgadajdHoymn297
    MongoDB 反馈引擎
    https://auth.mongodb.com/home/mongodbexternal_uservoice_1/0oa27cs0zouYPwgj0297/aln27cvudlhBT7grX297
    MongoDB JIRA
    https://auth.mongodb.com/app/mongodbexternal_mongodbjira_1/exk1s832qkFO3Rqox297/sso/saml
    Name ID format
    未指定
    Application username
    电子邮件
    Update application username on
    创建和更新

  4. 单击 Okta 配置页面中的 Click Show Advanced Settings(单击显示高级设置)链接,确保设置了以下值:

    Okta 数据字段
    Response
    Signed
    Assertion Signature
    Signed
    Signature Algorithm
    RSA-SHA256
    Digest Algorithm
    SHA256
    Assertion Encryption
    Unencrypted

  5. 将剩余的 Advanced Settings(高级设置)字段保留为它们的默认状态。

  6. 向下滚动到 Attribute Statements (optional)(属性语句)部分,并创建四个具有以下值的属性:

    名称
    名称格式
    未指定
    user.firstName
    未指定
    user.lastName

    重要

    Name(名称)列中的值区分大小写。严格按照所示输入。

    注意

    如果 Okta 连接到活动
    目录。 对于适当的值,请使用包含用户的名字、姓氏和完整电子邮件解决的 Active Directory 字段。

  7. (可选)如果计划使用角色映射,请向下滚动到 Group Attribute Statements (optional) 部分,然后创建具有以下值的属性:

    名称
    名称格式
    Filter
    memberOf
    未指定
    匹配正则表达式
    .*

    此筛选器匹配与用户关联的所有群组名称。 要进一步过滤发送到 MongoDB Cloud Manager 的群组名称,请调整FilterValue字段。

  8. 单击页面底部的 Next(下一步)。

  9. Feedback 屏幕上,单击 Finish

6

替换 MongoDB Cloud Manager FMC中的占位符值。

  1. 在 Okta 应用程序页面上,单击页面中间的 View Setup Instructions(查看设置说明)。

  2. 在 MongoDB Cloud Manager FMC中,导航到Identity Providers页面。找到 Okta,然后单击Edit

  3. 替换以下字段中的占位符值:

    FMC 数据字段
    Issuer URI
    Identity Provider Issuer 值来自 Okta 设置说明页面。
    Single Sign-on URL
    Identity Provider Single Sign-On URL 值来自 Okta 设置说明页面。
    Identity Provider Signature Certificate
    从 Okta 设置说明页面复制 X.509 Certificate(X.509 正数)并直接粘贴内容。

  4. 单击 Next(连接)。

  5. 单击 Finish(连接)。

7

将用户分配到 Okta 应用程序。

  1. 在 Okta 应用程序页面上,单击 Assignments(分配)标签页。

  2. 确保所有将使用 Okta 的 MongoDB Cloud Manager 组织用户都已注册。

映射您的域

将您的域映射到IdP可以让 Cloud Manager 知道您域中的用户应定向到身份提供商配置的Login URL

用户访问 Cloud Manager 登录页面时,需要输入自己的电子邮件地址。如果电子邮件域与 IdP 关联,则会被发送到该 IdP 的登录 URL。

重要

您可以将单个域映射到多个身份提供程序。如果这样做,使用 MongoDB Cloud 控制台登录的用户将自动重定向到第一个映射到该域的匹配 IdP

要使用备用身份提供程序登录,用户必须:

  • 通过所需的 IdP 启动 MongoDB Cloud 登录,或

  • 使用与所需 IdP 关联的 Login URL 登录。

使用 Federation Management Console 将您的域映射到 IdP

1
MongoDB Cloud ManagerGo在MongoDBOrganization Settings Cloud Manager中,Go 页面。

  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 单击 Organizations 菜单旁边的 Organization Settings 图标。

    显示“组织设置”页面。

2
打开 Federation Management Console(联合管理控制台)。

Manage Federation Settings 中,单击 Visit Federation Management App

3
输入域 映射信息。

  1. 单击 Add a Domain(连接)。

  2. Domains 屏幕上,单击 Add Domain

  3. 为域映射输入以下信息:

    字段
    说明
    显示名称
    便于识别域的名称。
    域名
    要映射的域名

  4. 单击 Next(连接)。

4
选择如何验证域。

注意

您可以选择一次验证方法。不能修改。 如需选择不同的验证方法,请删除域映射,然后重新创建。

根据您是通过上传 HTML 文件还是创建 DNS TXT 记录来验证域,选择相应的标签页:

上传包含验证密钥的 HTML 文件,验证您是否拥有自己的域。

  1. 单击 HTML File Upload(连接)。

  2. 单击 Next(连接)。

  3. 下载 Cloud Manager 提供的mongodb-site-verification.html文件。

  4. HTML文件上传到域中的站点。 您必须能够访问权限位于<https://host.domain>/mongodb-site-verification.html的文件。

  5. 单击 Finish(连接)。

与您的域提供商一起创建DNS TXT记录,以验证您是否拥有自己的域。 每条DNS记录将特定的Cloud Manager组织与特定的域相关联。

  1. 单击 DNS Record(连接)。

  2. 单击 Next(连接)。

  3. 复制所提供的 TXT 记录。TXT 记录具有以下格式:

    mongodb-site-verification=<32-character string>

  4. 登录您的域名提供商(例如 GoDaddy.com 或 networksolutions.com)。

  5. 添加Cloud Manager为您的域提供的 TXT记录。

  6. 返回 Cloud Manager 并单击Finish

5
验证域。

Domains屏幕显示您已映射到IdP的未验证域和已验证域。 要验证您的域,请单击目标域的Verify按钮。 Cloud Manager 在屏幕顶部的横幅显示验证是否成功。

将域与身份提供商关联

成功验证域后,使用 Federation Management Console 将域与 Otka 关联:

1
Identity Providers单击左侧导航栏中的 。
2
对于要与域关联的 IdP,请单击Associated Domains 旁边的
3
选择要与 IdP 关联的域。
4
单击 Confirm(保存并关闭)。

测试您的域映射

重要

在开始测试之前,复制并保存 IdP 的 旁路 SAML 模式 URL 。使用此 URL 在您被 Cloud Manager 组织锁定的事件中绕过联合身份验证。

测试时,请将会话登录到 Federation Management Console,进一步防止锁定。

要了解有关 Bypass SAML Mode 的详情,请参阅旁路 SAML 模式

使用 Federation Management Console(联合管理控制台)测试域与 Otka 之间的集成:

1
在专用浏览器窗口中,导航到 Cloud Manager 登录页面。
2
输入用户名(通常是电子邮件地址)和已验证的域名。

例子

如果已验证的域是mongodb.com ,请输入alice@mongodb.com

3
单击 Next(保存并关闭)。

如果域映射正确,则重定向到IdP进行身份验证。 如果与IdP成功进行身份验证,则重定向回 Cloud Manager。

注意

您可以直接导航到IdPLogin URL ,绕过 Cloud Manager 登录页面。Login URL会直接向IdP进行身份验证。

(可选)映射组织

使用Federation Management Console为域用户分配对特定 Cloud Manager 组织的访问权限:

1

MongoDB Cloud ManagerGo在MongoDBOrganization Settings Cloud Manager中,Go 页面。

  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 单击 Organizations 菜单旁边的 Organization Settings 图标。

    显示“组织设置”页面。

2

打开 Federation Management Console(联合管理控制台)。

Manage Federation Settings 中,单击 Visit Federation Management App

3

将一个组织连接到联合应用程序。

  1. 单击 View Organizations(连接)。

    Cloud Manager 显示您属于Organization Owner的所有组织。

    尚未连接到联合应用程序的组织在 Actions(操作)列中具有 Connect(连接)按钮。

  2. 单击所需组织的 Connect(连接)按钮。

4

将一个身份提供程序应用于组织。

从管理控制台的 Organizations 屏幕:

  1. 单击要映射到一个 IdP 的组织的 Name(名称)。

  2. Identity Provider 屏幕上,单击 Apply Identity Provider

    Cloud Manager 将引导您进入Identity Providers屏幕,其中显示您已链接到 Cloud Manager 的所有IdP

  3. 对于要应用到组织的 IdP,请单击 Modify

  4. Edit Identity Provider表单底部,选择此IdP适用的组织。

  5. 单击 Next(连接)。

  6. 单击 Finish(连接)。

5

将一个组织连接到联合应用程序。

  1. 单击左侧导航栏中的 Organizations

  2. Organizations列表中,确保所需的组织现在具有所需的Identity Provider

(可选)配置高级联合身份验证选项

您可以为联合身份验证配置以下高级选项, 以便更好地控制联邦用户和身份验证流程:

注意

以下联合身份验证高级选项要求您映射一个组织

使用登录 URL 登录 Cloud Manager

您分配给 Okta 经理的所有用户都可以使用其在Login URL上的 Okta 档案登录 Cloud Manager。用户可以访问您映射到IdP的组织。

重要

您可以将单个域映射到多个身份提供程序。如果这样做,使用 MongoDB Cloud 控制台登录的用户将自动重定向到第一个映射到该域的匹配 IdP

要使用备用身份提供程序登录,用户必须:

  • 通过所需的 IdP 启动 MongoDB Cloud 登录,或

  • 使用与所需 IdP 关联的 Login URL 登录。

如果您选择了默认组织角色,则使用Login URL登录到 Cloud Manager 的新用户将拥有您指定的角色。

后退

Microsoft Entra ID

来年

高级选项