联合身份验证的高级选项
您可以在联合身份验证实例中配置高级选项, 以便更好地控制联邦用户和身份验证流程。
联合管理访问
您可以通过Federation
Management Console管理联合身份验证。 只要您是一个或多个将联合设置委托给实例的组织中的 Organization Owner ,就可以访问权限控制台。
要打开Federation Management Console :
在MongoDB Cloud Manager 中,Go Organization Settings页面。
如果尚未显示,组织从导航栏中的Organizations菜单。
单击 Organizations 菜单旁边的 Organization Settings 图标。
显示"组织设置"页面。
为组织指定默认用户角色
- 您可以将 MongoDB Atlas 配置为自动预配每个用户
- 通过 IdP使用映射组织中的默认角色进行身份验证。 您可以为不同的组织选择不同的角色。
注意
所选角色仅适用于通过 IdP 进行身份验证的用户,前提是他们在组织中还没有角色。
按域限制对组织的访问
您可以指定已批准的域列表,防止域外用户访问组织。使用此列表,可为组织定义已批准的域列表,而无需将这些域直接映射到 IdP。
重要
Considerations
启用Restrict Access by Domain选项后:
您只能邀请电子邮件地址在已批准的域列表中的新用户加入组织。
组织中已存在的用户,如果用户名不包含已批准列表中的域,则不会限制对组织的访问。
任何映射到 IdP 的域都会自动添加到已批准列表。
在Federation Management Console中:
将域添加到已批准列表。
要将域添加到已批准列表,您可以:
单击Add Domains from Existing Members 。 Cloud Manager 打开一个模态框,其中包含组织现有用户电子邮件地址的域。使用此列表,可轻松启用已是组织成员的用户的访问权限。
使用复选框选择所需的域,然后单击Add将其添加到已批准列表。
单击Add Domains 。 Cloud Manager 打开一个模态框,您可以在其中手动将域添加到已批准列表。
在输入框中输入要批准的域,然后单击Add 。 对每个要批准的域重复此进程。
注意
如果您限制了联合用户的成员资格,则当您添加的域用于访问联合之外的组织时,Cloud Manager 会发出警告。
添加所有所需的域后,单击Submit 。
绕过 SAML 模式
Bypass SAML Mode 提供一个登录URL ,该 URL 可绕过您的联合身份验证,而允许您使用 Cloud Manager 凭证进行身份验证。
如果您的联合身份验证设置未正确配置,您可能无法通过IdP登录 Cloud Manager。 Bypass SAML Mode URL有助于防止您被锁定在 Cloud Manager 组织之外。在配置和测试IdP时,我们建议您记下Bypass SAML Mode URL,以确保您可以登录到 Cloud Manager 并正确配置联合身份验证设置。
每个Bypass SAML Mode URL 都与一个单独的IdP关联,并对应于 IdP 的Login URL 。
Bypass SAML Mode 在默认情况下启用, 但在确信已正确配置联合身份验证后,作为一种安全措施, 您可能希望禁用此模式。
要设置Bypass SAML Mode ,请在Federation Management Console中:
启用后登录 Bypass SAML Mode
启用Bypass SAML Mode后,您必须使用以下方式登录 Cloud Manager:
IdP Bypass SAML Mode的 URL 。
用户名:
包含映射到 IdP 的域。
在配置联合身份验证之前,您曾登录过 MongoDB Atlas 或 Cloud Manager。
将用户成员资格限制为联合
您可以阻止联合身份验证实例中的用户创建新组织或使用其档案访问联合外部的组织。 配置此设置以完全控制联合用户,并帮助确保联合用户只能访问所需的 Cloud Manager 组织。
重要
此设置适用于整个联合,包括联合内的所有身份提供程序和组织。
Considerations
启用此设置后:
任何联合身份验证实例的用户都不能访问联邦之外的组织。
同样,任何联邦用户都不能接受或接收关于加入联邦之外组织的邀请。
联合中具有
Organization Owner角色的用户仍可创建新组织。 这些新组织会自动连接到您的联邦。联邦中没有
Organization Owner角色的用户无法创建任何新组织。联邦用户保留其在成员资格受到限制之前对任何组织的访问权限。
步骤
在Federation Management Console中: