Docs 菜单
Docs 主页
/
MongoDB Ops Manager
/
安全性
/
通过身份验证保护 MongoDB 部署
/
启用 OIDC 身份验证

通过 OIDC 设置 Workforce Identity Federation

在此页面上

  • 必需的访问权限
  • 先决条件
  • 步骤
  • 配置外部身份提供商应用程序
  • 配置 Workforce Identity Federation 身份验证
  • 配置 OIDC 授权
  • 使用 Workforce Identity Federation 连接到MongoDB
  • 管理现有员工 Identity Federation 配置
  • Revoke JWKS
  • 编辑配置
  • 删除配置

在MongoDB 7.0及更高版本中,劳动力身份联合允许您使用外部身份提供程序 (IdP)(例如公司 IdP )对特定劳动力(例如员工、合作伙伴和承包商)进行身份验证和授权。

通过 Workforce Identity Federation,您可以:

  • 通过现有的 IdP 管理员工对 MongoDB 部署的访问。

  • IdP 中实施密码复杂性、档案轮换和多因素身份验证等安全策略。

每个项目只能创建一个 Workforce Identity Federation,但可以随时 编辑或重新创建配置。

必需的访问权限

要配置 Workforce Identity Federation,您必须拥有MongoDB Ops Manager的Project Owner MongoDB Ops Manager访问权限。

先决条件

您必须具备以下条件:

  • mongosh 1.9.1 或更高版本。

  • MongoDB 7.0 或更高版本。

  • 配置了MongoDBMongoDB Agent 助手的至少一种其他身份验证机制。

    注意

    MongoDB AgentMongoDB 助手助手无法通过 OIDC 连接到您的部署。您必须为MongoDBMongoDB Agent 助手启用额外的身份验证机制。MongoDB Ops Manager如果MongoDB Ops Manager不管理监控或备份,您必须手动将其配置为使用备用身份验证机制。

步骤

要使用MongoDB Ops Manager Workforce Identity Federation访问权限MongoDB Ops Manager部署,请完成以下步骤:

  1. 配置劳动力身份提供程序(一次性设置)。

    1. 配置外部身份提供商。

    2. 在MongoDB Ops Manager中配置 Workforce Identity Provider。MongoDB Ops Manager

  2. 授予外部身份(用户主体)或群组访问权限。

  3. 对MongoDB OpsMongoDB Ops Manager Manager部署进行身份验证。

配置外部身份提供商应用程序

注意

如果要重置项目的身份验证和 TLS 设置,请先取消 Ops Manager 在项目中托管的任何 MongoDB 部署

要使用 OIDC 配置 Workforce Identity Federation,请向支持 OIDC 标准的 IdP 注册您的 OIDC应用程序,例如Microsoft Entra ID、Okta 或 Ping Identity。

您可以为以下授权类型配置OIDC应用程序:

  • 使用PKCE的授权代码流

  • 设备授权流程

MongoDB 建议您将授权代码流与PKCE 结合使用以提高安全性。 仅当用户需要从没有浏览器的计算机上访问数据库时,才使用设备授权流程。

OIDC应用程序注册步骤可能因IdP而异。 确保在注册过程中完成以下事项:

OIDC应用程序的一般注册步骤如下:

1

为 Ops Manager 注册新应用程序。

选择 public client/native application作为客户端类型。

2

Redirect URL 值设置为http://localhost:27097/redirect

3

(有条件)如果使用群组进行身份验证,请添加或启用groups 声明。

对于群组,此步骤可确保您的访问令牌包含进行身份验证的用户的群组成员信息。 MongoDB 使用群组声明中发送的值进行授权。

4

(可选)如果希望 MongoDB 客户端刷新令牌以获得更好的用户体验, 则允许刷新令牌。

5

(可选)配置访问令牌生命周期( exp声明)以与数据库连接会话时间保持一致。

注册应用程序后,保存 issuerclientIdaudience 值以在下一阶段的配置中使用。

要使用Microsoft Entra ID注册您的OIDC应用程序:

1

注册应用程序。

  1. 导航至 App registrations

    1. Azure门户 中 帐户,搜索并单击Microsoft Entra ID

    2. 在左侧导航栏的 Manage 部分,单击 App registrations

  2. 单击 New registration(连接)。

  3. 应用以下值。

    字段
    Name
    Ops Manager Database - Workforce
    Supported Account Types
    Accounts in this organizational directory only (single tenant)
    Redirect URI
    - Public client/native (mobile & desktop)
    - http://localhost:27097/redirect

  4. 单击 Register(连接)。

要了解有关注册应用程序的更多信息,请参阅 Azure 文档。

2

添加一个群组声明。

  1. 导航至 Token Configuration

    在左侧导航栏的 Manage 部分,单击 Token Configuration

  2. 单击 Add groups claim(连接)。

  3. Edit groups claim 模式中,选择 Security

    所选择的群组取决于您在 Azure 环境中配置的群组类型。 您可能需要选择不同类型的群组 来发送相应的群组信息。

  4. Customize token properties by type部分中,仅选择Group ID

  5. 单击 Add(连接)。

要了解有关添加群组声明的更多信息,请参阅 Azure 文档。

3

在访问令牌中添加用户标识符声明。

  1. 单击 Add optional claim(连接)。

  2. Add optional claim 模式中,选择 Access

  3. 选择带有用户标识符的声明,您可以在 MongoDB 访问 日志(如电子邮件)中引用该标识符。

    您可以使用UPN声明通过电子邮件解决来识别用户。

  4. 单击 Add(连接)。

  5. Microsoft Graph Permissions(Microsoft Graph 权限)注释中,选中复选框,然后单击 Add(添加)。

要了解详情,请参阅 Azure 文档。

4

更新清单。

  1. 在左侧导航栏的 Manage 部分,单击 Manifest

  2. accessTokenAcceptedVersionnull 更新为 2

    数字 2 代表 Microsoft 访问令牌版本 2。其他应用程序可以将其用作 Active Directory 托管用户身份的签名证明。版本 2 确保令牌是 MongoDB 可理解的 JSON 网络令牌。

  3. 单击 Save(连接)。

要了解有关添加可选声明的更多信息,请参阅 Azure 文档。

5

记住元数据。

  1. 在左侧导航栏中单击 Overview

    复制 Application (client) ID(应用程序(客户端)ID)值。

  2. 在顶部导航栏中,单击 Endpoints

    复制不带 /.well-known/openid-configuration 部分的 OpenID Connect metadata document 值。

    您还可以通过复制OpenID Connect metadata document URLissuer的值来获取此值。

下表显示了这些Microsoft Entra ID用户界面值在MongoDB Atlas配置属性中的映射:

Microsoft Entra ID UI
MongoDB Atlas配置属性
Application (client) ID
Client ID
Audience
OpenID Connect metadata document (without /.well-known/openid-configuration)
Issuer URI.

配置 Workforce Identity Federation 身份验证

要使用 OIDC 配置 Workforce Identity Federation,请完成以下过程。

注意

Workforce Identity Federation 仅支持使用 JSON web token 进行身份验证。 它不支持不透明访问令牌。

1

Security Settings导航至部署的 对话框。

  1. Organizations从导航栏的 菜单中选择包含您的项目的组织。

  2. 从导航栏的 Projects(项目)菜单中选择项目。

  3. 单击侧边栏中的 Deployment(支持)。

  4. 单击 Security 标签页。

  5. 单击 Settings 标签页。

  6. 执行以下操作之一:

    • 如果这是您第一次为此项目配置 TLS、身份验证或授权设置,请单击 Get Started(开始使用)。

    • 如果已经为此项目配置 TLS 身份验证或授权设置,请单击 Edit(编辑)。

2

可选:指定 TLS 设置。

字段
操作
MongoDB 部署传输层安全 (TLS)
将此滑块切换至 ON(开启)。
TLS CA 文件路径

TLS 证书颁发机构文件是 .pem 格式的证书文件,其中包含来自证书颁发机构的根证书链。MongoDB 助手使用相同的证书颁发机构文件连接到部署中的每个项目。

.pem证书文件的加密私钥必须采用 PKCS #1 格式。MongoDB Agent不支持 PKCS #8 格式。

在运行 MongoDB 进程的每个主机上键入 TLS 证书颁发机构文件的文件路径:

  • 在第一个框中键入所有 Linux 主机上的文件路径。

  • 在第二个框中键入所有 Windows 主机上的文件路径。

这将为项目中的 MongoDB 进程启用net.tls.CAFile设置。

单击 Validate(验证)测试部署中每个主机在您指定的路径上是否都有 TLS 证书颁发机构。

集群 TLS CA 文件路径

包含来自证书授权机构的根证书链的 .pem 文件,用于验证建立连接的客户端提供的证书。使用相对或绝对路径指定 .pem 文件的文件名。net.tls.clusterCAFile 要求设置 net.tls.CAFile

如果不指定net.tls.clusterCAFile ,集群将使用net.tls.CAFile选项中指定的.pem文件。

net.tls.clusterCAFile 允许您使用单独的证书颁发机构来验证 TLS 握手的客户端到服务器和服务器到客户端部分。

客户端证书模式

选择在连接到启用 TLS 的MongoDB部署时客户端应用程序或MongoDB助手是否必须提供 TLS 证书。每个MongoDB 部署都会在这些客户端主机尝试连接时检查来自这些客户端主机的证书。 如果您选择要求客户端提供 TLS 证书,请确保它们有效。

接受的值为:

Optional
连接到 MongoDB 部署时,每个客户端都可以提供有效的TLS证书。 如果您mongodtlsMode 设置为 ,MongoDB 助手可能会使用 TLSNone 证书。
必需
此项目中的每个 MongoDB 部署都从 TLS 加密的网络连接开始。所有助手都必须使用 TLS 连接到任何 MongoDB 部署。
3

选择身份验证机制。

MongoDB Deployment Authentication Mechanism 部分,选择 Federated Auth (OIDC)

4

创建新的 OIDC IdP 配置。

  1. OIDC Connection and Authorization (Required for OIDC) 部分中,单击 + OIDC IdP Configuration

  2. OIDC Protocol Settings 对话框中,选择 Workforce Identity Federation

5

输入以下设置。

设置
必要性
Configuration Name
必需

标识此配置的唯一标签。 此标签对MongoDBMongoDB Ops Manager Ops Manager用户可见,并在创建用户和角色进行授权时使用。区分大小写,且只能包含以下字符:

  • 字母数字字符(az09 的组合)

  • 连字符 (-)

  • 下划线 (_)

保存配置后,您将无法编辑配置名称。

Issuer URI
必需
所注册的 IdP 应用程序提供的发行者值。使用此 URI,MongoDB 会找到 OpenID 提供商配置文档,该文档应在 /.wellknown/open-id-configuration 端点中可用。
Client ID
必需
已注册应用程序的唯一标识符。 输入您在外部身份提供程序中注册的应用的clientId值。
Audience
必需
外部身份提供商打算为其提供令牌的实体。 输入您在外部身份提供程序中注册的应用的audience值。 通常,此值与Client ID相同。
Requested Scopes
Optional

赋予用户从授权端点请求数据权限的令牌。

对于要添加的每个附加作用域,请单击 Add more scopes(添加更多作用域)。

授权类型
必需
选择Group Membership以根据IdP用户群组成员身份授予授权,或选择User ID以向单个用户授予授权。
Customize User Claim
必需

包含用户主体身份声明的标识符。接受默认值,除非 IdP 使用不同的声明。

默认值sub

Customize Group Claim
必需

如果选择 Group Membership 作为授权类型,则为必填项。包含主体的 IdP 用户群组成员信息的声明的标识符。接受默认值,除非 IdP 使用不同的声明,或者您需要自定义声明。

默认值groups

6

单击Save Configuration

MongoDBMongoDB Ops Manager Ops Manager会保存配置并将其列在 部分中。OIDC Connection and Authorization (Required for OIDC)

7

单击Save Settings

8

单击Review & Deploy 查看更改。

9

单击Confirm & Deploy 以部署更改。

否则,请单击 Cancel,您可以进行其他更改。

配置 OIDC 授权

MongoDB不会显式为 OIDC 创建数据库用户。它根据配置将 OIDC 用户映射到MongoDB角色。

根据您在配置 OIDC身份验证时选择的授权类型,选择一个标签页。

如果您选择了Group Membership 授权类型,请完成以下步骤以创建自定义角色,该角色根据 IdP 用户群组成员身份授予授权:

1

导航至MongoDB Roles 标签页进行部署。

  1. Organizations从导航栏的 菜单中选择包含您的项目的组织。

  2. 从导航栏的 Projects(项目)菜单中选择项目。

  3. 单击侧边栏中的 Deployment(支持)。

  4. 单击 Security 标签页。

  5. 单击 MongoDB Roles 标签页。

2

单击Add New Role

3

创建 OIDC 角色。

  1. 输入以下字段:

    字段
    必要性
    说明
    Identifier
    必需

    Database框中,输入admin

    Name 框中,输入您的 OIDC IdP 配置名称和来自外部身份提供商的群组名称,并用斜杠分隔/

    {configuration_name}/{group_name}
    Inherits From
    Optional
    角色名称和数据库对的列表。 这些对的格式为roleName@dbName
    Authentication Restrictions
    Optional
    您想要限制来自IdP的 IP 地址或 CIDR 符号列表。
    Privilege Actions by Resource
    Optional

    允许对资源执行的操作。

    要学习;了解更多信息,请参阅特权操作。

  2. 单击 Add Role(连接)。

如果您选择了 User ID授权类型,请创建一个新用户以向单个用户授权:

1

导航至MongoDB Users 标签页进行部署。

  1. Organizations从导航栏的 菜单中选择包含您的项目的组织。

  2. 从导航栏的 Projects(项目)菜单中选择项目。

  3. 单击侧边栏中的 Deployment(支持)。

  4. 单击 Security 标签页。

  5. 单击 MongoDB Users 标签页。

2

单击Add New User

3

添加 OIDC 用户。

注意

在添加用户之前,请确保已创建要分配给用户的所有角色。

  1. 填写用户帐户字段:

    字段
    说明
    Identifier

    • 在第一个字段,输入 $external数据库。

    • 在第二个字段,输入使用用户名 IdP 配置名称的用户名和配置中的用户主体声明,用斜杠/ 分隔:

      {configuration_name}/{user_principal_claim}
    Roles
    在此框中输入任何可用的用户定义角色和内置角色。 单击该组合框会提供现有角色的列表。
    Authentication Restrictions

    1. 单击 Add Entry(连接)。

    2. Client Source 或 框中添加一个或多个IP地址和/或 CIDRServer Address 块。用逗号分隔多个地址或区块。

      • Client Source 限制此用户可以进行身份验证并使用给定角色的地址。

      • Server Address 限制该用户可以进行身份验证的地址并具有给定的角色。

    3. 单击 Save(连接)。

    4. 要添加其他条目,请单击Add Entry

  2. 单击 Add User(连接)。

4

单击Review & Deploy 查看更改。

5

单击Confirm & Deploy 以部署更改。

否则,请单击 Cancel,您可以进行其他更改。

使用 Workforce Identity Federation 连接到MongoDB

使用mongosh 或Compass通过 Workforce Identity Federation身份验证将应用程序连接到MongoDB 。

管理现有员工 Identity Federation 配置

要管理Workforce Identity Federation 配置,您可以执行以下操作。

Revoke JWKS

注意

请勿使用此功能轮换您的签名密钥。轮换 OIDC IdP 签名密钥时,MongoDB 会在现有访问令牌到期后自动获取 JWKS。

如果您的私钥遭到泄露,您可以立即撤销缓存在 MongoDB 节点中的 JSON Web 密钥集 (JWKS):

1

Security Settings导航至部署的 对话框。

  1. 如果尚未显示,请从导航栏的 Organizations 菜单中选择包含所需项目的组织。

  2. 如果尚未显示该页,请从导航栏的 Projects(项目)菜单中选择所需的项目。

  3. 如果尚未出现,请单击侧边栏中的 Deployment(部署)。

  4. 单击 Security 标签页。

  5. 单击 Settings 标签页。

2

撤销您的 JWKS 令牌。

  1. 滚动到OIDC Connection and Authorization (Required for OIDC)部分。

  2. 单击 REVOKE JWKS 按钮。

  3. Revoke JWKS tokens?对话框中,单击Revoke

编辑配置

要编辑 Workforce Identity Federation 配置,请执行以下操作:

1

Security Settings导航至部署的 对话框。

  1. Organizations从导航栏的 菜单中选择包含您的项目的组织。

  2. 从导航栏的 Projects(项目)菜单中选择项目。

  3. 单击侧边栏中的 Deployment

  4. 单击 Security 标签页。

  5. 单击 Settings 标签页。

2

编辑配置。

  1. 滚动到OIDC Connection and Authorization (Required for OIDC)部分。

  2. 对于要编辑的配置,请单击 EDIT 按钮。

  3. 更改配置。

3

单击Save Configuration

4

单击Save Settings

5

单击Review & Deploy 查看更改。

6

单击Confirm & Deploy 以部署更改。

否则,请单击 Cancel,您可以进行其他更改。

删除配置

要删除Workforce Identity Federation 配置,请执行以下操作:

1

Security Settings导航至部署的 对话框。

  1. Organizations从导航栏的 菜单中选择包含您的项目的组织。

  2. 从导航栏的 Projects(项目)菜单中选择项目。

  3. 单击侧边栏中的 Deployment(支持)。

  4. 单击 Security 标签页。

  5. 单击 Settings 标签页。

2

删除配置。

  1. 滚动到OIDC Connection and Authorization (Required for OIDC)部分。

  2. 对于要删除的配置,请单击 REMOVE 按钮。

  3. Removing OIDC IdP configuration?对话框中,单击Remove

后退

启用 OIDC 身份验证

来年

工作负载(应用程序)