Docs 菜单
Docs 主页
/
MongoDB Cloud Manager
/
安全性
/
配置联合身份验证

管理 Cloud Manager 角色到 IdP 群组的映射

在此页面上

您可以将IdP群组映射到 Cloud Manager 角色。 这简化了授权设置。 您可以为一个IdP群组授予一个或多个角色,以简化他们对 Cloud Manager 组织、项目和集群的访问。

注意

如果为 IdP 组配置了角色映射,则无法在 Access Manager 页面上编辑特定用户的角色。

角色映射进程

  1. Cloud Manager 在您登录时应用角色映射。

  2. Cloud Manager 会将名为memberOfIdP群组与为组织定义的角色映射进行比较。 这些组织必须使用用户进行身份验证时使用的同一IdP

    • 如果您定义了角色映射,则 Cloud Manager 会将映射的角色应用于联合用户。

    • 在以下情况下,Cloud Manager 将应用默认角色:

      • 您尚未定义角色映射,或者

      • 角色映射会导致用户没有任何角色。

    • 组织角色映射定义联合用户的 Cloud Manager 访问权限。 如果联合用户登录但不属于映射到所需组织的IdP群组,Cloud Manager 会删除该组织及其项目中用户的映射角色。联合用户仍可能属于其他IdP群组。

      例子

      考虑用户属于管理员IdP群组的场景。 您已配置 管理员 到Organization Owner 组织 A 中 的角色映射。如果您从 管理员 IdP 群组中删除该用户,Cloud Manager 会在该用户下次登录时删除该用户的Organization Owner 角色。

    • 每个项目必须至少有一个具有Project Owner角色的用户。 如果删除角色会从项目中删除最后一个所有者,则 Cloud Manager 不会删除该角色。

    • 每个组织必须至少有一个具有Organization Owner角色的用户。 如果删除角色会删除组织中的最后一个所有者,Cloud Manager 不会删除该角色。

先决条件

若要完成本教程,必须具备:

  • 已创建IdP应用程序。 此应用程序必须具有名为 memberOf SAML 属性。将此属性映射到群组的IdP源属性。 此属性将IdP群组与 MongoDB Atlas 角色关联。

  • IdP 链接到 Cloud Manager。

  • 组织映射到IdP

  • IdP 中至少创建一个群组。

  • 已将IdP应用程序中的至少一个用户添加到您创建的群组中。

在您的组织及其项目中添加角色映射

1

在MongoDB Cloud Manager中, Go Organization Settings 页面。

  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 单击 Organizations 菜单旁边的 Organization Settings 图标。

    显示“组织设置”页面。

2

打开 Federation Management Console

Manage Federation Settings 中,单击 Visit Federation Management App

3

选择要在其中映射角色的组织。

  1. 单击 Manage Organizations(连接)。

    Cloud Manager 在表格中显示您是Organization Owner的所有组织。

    • 连接到联合身份验证的组织在 Actions(操作)列显示

    • 未连接到联合身份验证的组织在 Actions(操作)列中具有 Connect(连接)按钮。

  2. 要映射组织中的角色:

    1. 单击 Connect(连接),根据需要为该组织启用联合身份验证。

    2. 单击 并选择 View(查看)。

4

前往 Create Role Mapping For Your Users 页面。

  1. 单击 Create Role Mappings(连接)。

    Cloud Manager 显示Organization Role Mappings页面。

  2. 单击 Create A Role Mapping(连接)。

    Cloud Manager 显示Create Role Mapping For Your Users页面。

5

将Cloud Manager组织角色分配给所需的 IdP群组。 在Map Group and Assign Roles阶段:

部分
操作

输入群组名称

在此字段中键入IdP中显示的群组名称。 Cloud Manager 将此群组分配给您的 Cloud Manager 角色。

如果 IdP 群组不存在,则无法通过输入新的群组名来创建新的 IdP 群组。

如果使用Azure作为IdP并选择Group Id作为源属性,请在此字段中输入群组的对象 ID,而不是群组的名称。 要了解详情,请参阅 :ref:cm-configure-azure-idp`。

分配组织角色

单击要分配给IdP群组的每个 Cloud Manager 组织角色。

  • 如果您不需要将任何 Cloud Manager 项目角色分配给此IdP群组,请单击Finish 。 您可以跳过此过程的其余部分。

  • 如果您需要将 Cloud Manager 项目角色分配给此IdP群组,请单击Next

6

将项目角色分配给所需的 IdP 群组。

Assign Project Roles 阶段显示一个表格。此表格包括项目名称以及可为这些项目分配的角色。对于每个项目,点击要分配给 IdP 群组的项目角色。

  • 如果您无需查看分配给此 IdP 群组的角色,则点击 Finish。您可以跳过此过程的其余部分。

  • 如果需要查看分配给此 IdP 群组的角色,则点击 Next

7

验证已将哪些角色分配给所需的 IdP 群组。

Review and Confirm 阶段显示分配给 IdP 群组的组织和项目角色。

  • 如果同意分配给此 IdP 群组的角色,则点击 Finish

  • 如果您需要更改分配给此IdP群组的角色,请单击。 Cloud Manager 返回到Map Group and Assign Roles阶段,如步骤 4 中所述。

编辑组织及其项目中的角色映射

1

在MongoDB Cloud Manager中, Go Organization Settings 页面。

  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 单击 Organizations 菜单旁边的 Organization Settings 图标。

    显示“组织设置”页面。

2

打开 Federation Management Console

Manage Federation Settings 中,单击 Visit Federation Management App

3

选择要编辑角色映射的组织。

  1. 单击 Manage Organizations(连接)。

    Cloud Manager 在表格中显示您是Organization Owner的所有组织。

  2. 点击所需 IdP 旁边的 Group Name 并选择 View

4

前往 Create Role Mapping For Your Users 页面。

  1. 单击 Create Role Mappings(连接)。

    Cloud Manager 显示Organization Role Mappings页面。

  2. 单击在要更改的IdP群组右侧。

    Cloud Manager 显示Edit Your Role Mapping For This Organization页面。

5

将Cloud Manager组织角色分配给所需的 IdP群组。 在Map Group and Assign Roles阶段:

部分
操作

输入群组名称

在此字段中键入IdP中显示的群组名称。 Cloud Manager 将此群组分配给您的 Cloud Manager 角色。

如果 IdP 群组不存在,则无法通过输入新的群组名来创建新的 IdP 群组。

如果使用Azure作为IdP并选择Group Id作为源属性,请在此字段中输入群组的对象 ID,而不是群组的名称。 要了解详情,请参阅 :ref:cm-configure-azure-idp`。

分配组织角色

单击要分配给IdP群组的每个 Cloud Manager 组织角色。

  • 如果您不需要将任何 Cloud Manager 项目角色分配给此IdP群组,请单击Finish 。 您可以跳过此过程的其余部分。

  • 如果您需要将 Cloud Manager 项目角色分配给此IdP群组,请单击Next

6

将项目角色分配给所需的 IdP 群组。

Assign Project Roles 阶段显示一个表格。此表格包括项目名称以及可为这些项目分配的角色。对于每个项目,点击要分配给 IdP 群组的项目角色。

  • 如果您无需查看分配给此 IdP 群组的角色,则点击 Finish。您可以跳过此过程的其余部分。

  • 如果需要查看分配给此 IdP 群组的角色,则点击 Next

7

验证已将哪些角色分配给所需的 IdP 群组。

Review and Confirm 阶段显示分配给 IdP 群组的组织和项目角色。

  • 如果同意分配给此 IdP 群组的角色,则点击 Finish

  • 如果您需要更改分配给此IdP群组的角色,请单击。 Cloud Manager 返回到Map Group and Assign Roles阶段,如步骤 4 中所述。

删除组织及其项目中的一个角色映射

1

在MongoDB Cloud Manager中, Go Organization Settings 页面。

  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 单击 Organizations 菜单旁边的 Organization Settings 图标。

    显示“组织设置”页面。

2

打开 Federation Management Console

Manage Federation Settings 中,单击 Visit Federation Management App

3

选择要在其中映射角色的组织。

  1. 单击 Manage Organizations(连接)。

    Cloud Manager 在表格中显示您是Organization Owner的所有组织。

    • 连接到联合身份验证的组织在 Actions(操作)列显示

    • 未连接到联合身份验证的组织在 Actions(操作)列中具有 Connect(连接)按钮。

  2. 要映射组织中的角色:

    1. 单击 Connect(连接),根据需要为该组织启用联合身份验证。

    2. 单击 并选择 View(查看)。

4

前往 Organization Role Mappings 页面。

  1. 单击 Create Role Mappings(连接)。

    Cloud Manager 显示Organization Role Mappings页面。

  2. 单击在要删除的IdP群组右侧。

    Cloud Manager 显示Delete role mappings for this group模态。

  3. 点击 Delete,以从此 IdP 群组中删除所有角色映射。

    如果不想删除所有角色映射,请单击 Cancel

后退

组织映射

来年

Microsoft Entra ID