Docs 菜单

管理 Cloud Manager 角色到 IdP 群组的映射

您可以将IdP群组映射到 Cloud Manager 角色。 这简化了授权设置。 您可以为一个IdP群组授予一个或多个角色,以简化他们对 Cloud Manager 组织、项目和集群的访问。

注意

如果为 IdP 组配置了角色映射,则无法在 Access Manager 页面上编辑特定用户的角色。

  1. Cloud Manager 在您登录时应用角色映射。

  2. Cloud Manager 会将名为memberOfIdP群组与为组织定义的角色映射进行比较。 这些组织必须使用用户进行身份验证时使用的同一IdP

    • 如果您定义了角色映射,则 Cloud Manager 会将映射的角色应用于联合用户。

    • 在以下情况下,Cloud Manager 将应用默认角色:

      • 您尚未定义角色映射,或者

      • 角色映射会导致用户没有任何角色。

    • 组织角色映射定义联合用户的 Cloud Manager 访问权限。 如果联合用户登录但不属于映射到所需组织的IdP群组,Cloud Manager 会删除该组织及其项目中用户的映射角色。联合用户仍可能属于其他IdP群组。

      例子

      考虑用户属于管理员IdP群组的场景。 您已配置 管理员 到Organization Owner 组织 A 中 的角色映射。如果您从 管理员 IdP 群组中删除该用户,Cloud Manager 会在该用户下次登录时删除该用户的Organization Owner 角色。

    • 每个项目必须至少有一个具有Project Owner角色的用户。 如果删除角色会从项目中删除最后一个所有者,则 Cloud Manager 不会删除该角色。

    • 每个组织必须至少有一个具有Organization Owner角色的用户。 如果删除角色会删除组织中的最后一个所有者,Cloud Manager 不会删除该角色。

若要完成本教程,必须具备:

  • 已创建IdP应用程序。 此应用程序必须具有名为 memberOf SAML 属性。将此属性映射到群组的IdP源属性。 此属性将IdP群组与 MongoDB Atlas 角色关联。

  • IdP 链接到 Cloud Manager。

  • 组织映射到IdP

  • IdP 中至少创建一个群组。

  • 已将IdP应用程序中的至少一个用户添加到您创建的群组中。

1
  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 单击 Organizations 菜单旁边的 Organization Settings 图标。

    显示“组织设置”页面。

2

Manage Federation Settings 中,单击 Visit Federation Management App

3
  1. 单击 Manage Organizations(连接)。

    Cloud Manager 在表格中显示您是Organization Owner的所有组织。

    • 连接到联合身份验证的组织在 Actions(操作)列显示

    • 未连接到联合身份验证的组织在 Actions(操作)列中具有 Connect(连接)按钮。

  2. 要映射组织中的角色:

    1. 单击 Connect(连接),根据需要为该组织启用联合身份验证。

    2. 单击 并选择 View(查看)。

4
  1. 单击 Create Role Mappings(连接)。

    Cloud Manager 显示Organization Role Mappings页面。

  2. 单击 Create A Role Mapping(连接)。

    Cloud Manager 显示Create Role Mapping For Your Users页面。

5

将Cloud Manager组织角色分配给所需的 IdP群组。 在Map Group and Assign Roles阶段:

部分
操作

输入群组名称

在此字段中键入IdP中显示的群组名称。 Cloud Manager 将此群组分配给您的 Cloud Manager 角色。

如果 IdP 群组不存在,则无法通过输入新的群组名来创建新的 IdP 群组。

如果使用Azure作为IdP并选择Group Id作为源属性,请在此字段中输入群组的对象 ID,而不是群组的名称。 要了解详情,请参阅 :ref:cm-configure-azure-idp`。

分配组织角色

单击要分配给IdP群组的每个 Cloud Manager 组织角色。

  • 如果您不需要将任何 Cloud Manager 项目角色分配给此IdP群组,请单击Finish 。 您可以跳过此过程的其余部分。

  • 如果您需要将 Cloud Manager 项目角色分配给此IdP群组,请单击Next

6

Assign Project Roles 阶段显示一个表格。此表格包括项目名称以及可为这些项目分配的角色。对于每个项目,点击要分配给 IdP 群组的项目角色。

  • 如果您无需查看分配给此 IdP 群组的角色,则点击 Finish。您可以跳过此过程的其余部分。

  • 如果需要查看分配给此 IdP 群组的角色,则点击 Next

7

Review and Confirm 阶段显示分配给 IdP 群组的组织和项目角色。

  • 如果同意分配给此 IdP 群组的角色,则点击 Finish

  • 如果您需要更改分配给此IdP群组的角色,请单击。 Cloud Manager 返回到Map Group and Assign Roles阶段,如步骤 4 中所述。

1
  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 单击 Organizations 菜单旁边的 Organization Settings 图标。

    显示“组织设置”页面。

2

Manage Federation Settings 中,单击 Visit Federation Management App

3
  1. 单击 Manage Organizations(连接)。

    Cloud Manager 在表格中显示您是Organization Owner的所有组织。

  2. 点击所需 IdP 旁边的 Group Name 并选择 View

4
  1. 单击 Create Role Mappings(连接)。

    Cloud Manager 显示Organization Role Mappings页面。

  2. 单击在要更改的IdP群组右侧。

    Cloud Manager 显示Edit Your Role Mapping For This Organization页面。

5

将Cloud Manager组织角色分配给所需的 IdP群组。 在Map Group and Assign Roles阶段:

部分
操作

输入群组名称

在此字段中键入IdP中显示的群组名称。 Cloud Manager 将此群组分配给您的 Cloud Manager 角色。

如果 IdP 群组不存在,则无法通过输入新的群组名来创建新的 IdP 群组。

如果使用Azure作为IdP并选择Group Id作为源属性,请在此字段中输入群组的对象 ID,而不是群组的名称。 要了解详情,请参阅 :ref:cm-configure-azure-idp`。

分配组织角色

单击要分配给IdP群组的每个 Cloud Manager 组织角色。

  • 如果您不需要将任何 Cloud Manager 项目角色分配给此IdP群组,请单击Finish 。 您可以跳过此过程的其余部分。

  • 如果您需要将 Cloud Manager 项目角色分配给此IdP群组,请单击Next

6

Assign Project Roles 阶段显示一个表格。此表格包括项目名称以及可为这些项目分配的角色。对于每个项目,点击要分配给 IdP 群组的项目角色。

  • 如果您无需查看分配给此 IdP 群组的角色,则点击 Finish。您可以跳过此过程的其余部分。

  • 如果需要查看分配给此 IdP 群组的角色,则点击 Next

7

Review and Confirm 阶段显示分配给 IdP 群组的组织和项目角色。

  • 如果同意分配给此 IdP 群组的角色,则点击 Finish

  • 如果您需要更改分配给此IdP群组的角色,请单击。 Cloud Manager 返回到Map Group and Assign Roles阶段,如步骤 4 中所述。

1
  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 单击 Organizations 菜单旁边的 Organization Settings 图标。

    显示“组织设置”页面。

2

Manage Federation Settings 中,单击 Visit Federation Management App

3
  1. 单击 Manage Organizations(连接)。

    Cloud Manager 在表格中显示您是Organization Owner的所有组织。

    • 连接到联合身份验证的组织在 Actions(操作)列显示

    • 未连接到联合身份验证的组织在 Actions(操作)列中具有 Connect(连接)按钮。

  2. 要映射组织中的角色:

    1. 单击 Connect(连接),根据需要为该组织启用联合身份验证。

    2. 单击 并选择 View(查看)。

4
  1. 单击 Create Role Mappings(连接)。

    Cloud Manager 显示Organization Role Mappings页面。

  2. 单击在要删除的IdP群组右侧。

    Cloud Manager 显示Delete role mappings for this group模态。

  3. 点击 Delete,以从此 IdP 群组中删除所有角色映射。

    如果不想删除所有角色映射,请单击 Cancel