Kurz: Integrace jednotného přihlašování Microsoft Entra s MongoDB Atlas – SSO
V tomto kurzu se dozvíte, jak integrovat MongoDB Atlas – jednotné přihlašování s Microsoft Entra ID. Když integrujete MongoDB Atlas – jednotné přihlašování s Microsoft Entra ID, můžete:
- Řízení v Microsoft Entra ID, který má přístup k MongoDB Atlas, komunitě MongoDB, Univerzitě MongoDB a podpoře MongoDB.
- Povolte uživatelům automatické přihlášení k MongoDB Atlas – jednotné přihlašování s jejich účty Microsoft Entra.
- Přiřaďte uživatelům role MongoDB Atlas na základě jejich členství ve skupinách Microsoft Entra.
- Správa účtů v jednom centrálním umístění: na webu Azure Portal.
Předpoklady
Abyste mohli začít, potřebujete následující položky:
- Předplatné Microsoft Entra. Pokud předplatné nemáte, můžete získat bezplatný účet.
- MongoDB Atlas – Předplatné s povoleným jednotným přihlašováním (SSO)
Popis scénáře
V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.
- MongoDB Atlas – Jednotné přihlašování podporuje jednotné přihlašování iniciované sp a IDP .
- MongoDB Atlas – Jednotné přihlašování podporuje zřizování uživatelů za běhu .
Přidání MongoDB Atlas – jednotné přihlašování z galerie
Pokud chcete nakonfigurovat integraci MongoDB Atlas - SSO do Microsoft Entra ID, musíte přidat MongoDB Atlas – jednotné přihlašování z galerie do seznamu spravovaných aplikací SaaS.
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
- Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.
- Do části Přidat z galerie zadejte do vyhledávacího pole MongoDB Atlas jednotné přihlašování.
- Vyberte MongoDB Atlas – Jednotné přihlašování z panelu výsledků a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.
Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.
Konfigurace a testování jednotného přihlašování Microsoft Entra pro MongoDB Atlas – SSO
Konfigurace a testování jednotného přihlašování Microsoft Entra s MongoDB Atlas - SSO pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit propojený vztah mezi uživatelem Microsoft Entra a souvisejícím uživatelem v MongoDB Atlas - SSO.
Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra s MongoDB Atlas – jednotné přihlašování, proveďte následující kroky:
- Nakonfigurujte jednotné přihlašování Microsoft Entra tak, aby uživatelé mohli tuto funkci používat.
- Vytvořte testovacího uživatele Microsoft Entra a testovací skupinu pro testování jednotného přihlašování Microsoft Entra pomocí B.Simon.
- Přiřaďte testovacímu uživateli nebo testovací skupině Microsoft Entra, aby B.Simon mohl používat jednotné přihlašování Microsoft Entra.
- Nakonfigurujte jednotné přihlašování MongoDB Atlas tak, aby na straně aplikace nakonfigurovali nastavení jednotného přihlašování.
- Vytvořte testovacího uživatele MongoDB Atlas SSO, který bude mít protějšek B.Simon v MongoDB Atlas – SSO, propojený s reprezentací Microsoft Entra uživatele.
- Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.
Konfigurace jednotného přihlašování Microsoft Entra
Následujícím postupem povolíte jednotné přihlašování microsoftu Entra.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
Přejděte na >stránku integrace aplikací Identita Applications>Enterprise>MongoDB Atlas - SSO, najděte část Správa. Vyberte jednotné přihlašování.
Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.
Na stránce Nastavit jednotné přihlašování pomocí SAML vyberte ikonu tužky pro základní konfiguraci SAML a upravte nastavení.
Pokud chcete nakonfigurovat aplikaci v režimu iniciovaném protokolem IDP, zadejte v části Základní konfigurace SAML hodnoty následujících polí:
a. Do textového pole Identifikátor zadejte adresu URL, která používá následující vzor:
https://www.okta.com/saml2/service-provider/<Customer_Unique>
b. Do textového pole Adresa URL odpovědi zadejte adresu URL, která používá následující vzor:
https://auth.mongodb.com/sso/saml2/<Customer_Unique>
Vyberte Nastavit další adresy URL a pokud chcete nakonfigurovat aplikaci v režimu iniciovaném aktualizací SP , proveďte následující krok:
Do textového pole Přihlašovací adresa URL zadejte adresu URL, která používá následující vzor:
https://cloud.mongodb.com/sso/<Customer_Unique>
Poznámka:
Tyto hodnoty nejsou reálné. Aktualizujte tyto hodnoty skutečným identifikátorem, adresou URL odpovědi a přihlašovací adresou URL. Pokud chcete získat tyto hodnoty, obraťte se na tým podpory klienta MongoDB Atlas - SSO. Můžete také odkazovat na vzory uvedené v části Základní konfigurace SAML.
Aplikace MongoDB Atlas – SSO očekává, že kontrolní výrazy SAML budou v určitém formátu, což vyžaduje, abyste do konfigurace atributů tokenu SAML přidali mapování vlastních atributů. Následující snímek obrazovky ukazuje seznam výchozích atributů.
Kromě předchozích atributů očekává aplikace MongoDB Atlas – jednotné přihlašování několik dalších atributů, které se předávají zpět v odpovědi SAML. Tyto atributy jsou také předem vyplněné, ale můžete je zkontrolovat podle svých požadavků.
Název Zdrojový atribut E-mail user.userprincipalname firstName user.givenname lastName user.last Pokud chcete autorizovat uživatele pomocí mapování rolí MongoDB Atlas, přidejte následující deklaraci identity skupiny a odešlete informace o skupině uživatele v kontrolním výrazu SAML.
Název Zdrojový atribut Memberof ID skupiny Na stránce Nastavení jednotného přihlašování pomocí SAML v části Podpisový certifikát SAML vyhledejte XML federačních metadat. Vyberte Stáhnout a stáhněte certifikát a uložte ho do počítače.
V části Nastavení MongoDB Atlas – SSO zkopírujte příslušné adresy URL podle vašeho požadavku.
Vytvoření testovacího uživatele a testovací skupiny Microsoft Entra
V této části vytvoříte testovacího uživatele S názvem B.Simon.
- Přihlaste se k Centru pro správu Microsoft Entra alespoň jako uživatel Správa istrator.
- Přejděte k identitě>Uživatelé>Všichni uživatelé.
- V horní části obrazovky vyberte Nový uživatel>Vytvořit nového uživatele.
- Ve vlastnostech uživatele postupujte takto:
- Do pole Zobrazovaný název zadejte
B.Simon
. - Do pole Hlavní název uživatele zadejte .username@companydomain.extension Například,
B.Simon@contoso.com
. - Zaškrtněte políčko Zobrazit heslo a potom poznamenejte hodnotu, která se zobrazí v poli Heslo.
- Vyberte Zkontrolovat a vytvořit.
- Do pole Zobrazovaný název zadejte
- Vyberte Vytvořit.
Pokud používáte funkci mapování rolí MongoDB Atlas k přiřazení rolí uživatelům na základě jejich skupin Microsoft Entra, vytvořte testovací skupinu a B.Simon jako člen:
- Přejděte do skupin identit>.
- V horní části obrazovky vyberte Možnost Nová skupina .
- Ve vlastnostech skupiny postupujte takto:
- V rozevíracím seznamu Typ skupiny vyberte Zabezpečení.
- Do pole Název skupiny zadejte Group 1 (Skupina 1).
- Vyberte Vytvořit.
Přiřazení testovacího uživatele nebo testovací skupiny Microsoft Entra
V této části povolíte B.Simon nebo Group 1 používat jednotné přihlašování Azure tím, že udělíte přístup k MongoDB Atlas – SSO.
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
- Přejděte k podnikovým aplikacím>Identity>Applications>MongoDB Atlas – SSO.
- Na stránce s přehledem aplikace najděte oddíl Spravovat a vyberte Uživatelé a skupiny.
- Vyberte Přidat uživatele a potom v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.
- V dialogovém okně Uživatelé a skupiny vyberte B.Simon ze seznamu Uživatelé nebo pokud používáte mapování rolí MongoDB Atla, vyberte v seznamu Skupiny skupinu 1 a potom klikněte na tlačítko Vybrat v dolní části obrazovky.
- V dialogovém okně Přidat přiřazení klikněte na tlačítko Přiřadit .
Konfigurace jednotného přihlašování MongoDB Atlas
Pokud chcete nakonfigurovat jednotné přihlašování na straně MongoDB Atlas, potřebujete zkopírované příslušné adresy URL. Musíte také nakonfigurovat federační aplikaci pro vaši organizaci MongoDB Atlas. Postupujte podle pokynů v dokumentaci MongoDB Atlas. Pokud máte potíže, obraťte se na tým podpory MongoDB.
Konfigurace mapování rolí MongoDB Atlas
Pokud chcete autorizovat uživatele v MongoDB Atlas na základě jejich členství ve skupině Microsoft Entra, můžete mapovat ID skupiny Microsoft Entra na role organizace nebo projektu MongoDB Atlas pomocí mapování rolí MongoDB Atlas. Postupujte podle pokynů v dokumentaci MongoDB Atlas. Pokud máte potíže, obraťte se na tým podpory MongoDB.
Vytvoření testovacího uživatele jednotného přihlašování MongoDB Atlas
MongoDB Atlas podporuje zřizování uživatelů za běhu, které je ve výchozím nastavení povolené. Není k dispozici žádná další akce, kterou byste mohli provést. Pokud uživatel v MongoDB Atlas ještě neexistuje, vytvoří se po ověření nový.
Testování jednotného přihlašování
V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.
Inicializovaná aktualizace:
Klikněte na Otestovat tuto aplikaci, tím se přesměruje na přihlašovací adresu URL MongoDB Atlas, kde můžete zahájit tok přihlášení.
Přejděte přímo na adresu URL pro Přihlášení k MongoDB Atlas a spusťte tok přihlášení odtud.
Iniciovaný protokol IDP:
- Klikněte na Otestovat tuto aplikaci a měli byste být automaticky přihlášení k MongoDB Atlas, pro kterou jste nastavili jednotné přihlašování.
K otestování aplikace v libovolném režimu můžete také použít Microsoft Moje aplikace. Když kliknete na dlaždici MongoDB Atlas - SSO v Moje aplikace, pokud je nakonfigurovaná v režimu SP, budete přesměrováni na přihlašovací stránku aplikace pro zahájení toku přihlášení a pokud je nakonfigurovaný v režimu IDP, měli byste být automaticky přihlášení k MongoDB Atlas - SSO, pro který jste nastavili jednotné přihlašování. Další informace o Moje aplikace naleznete v tématu Úvod do Moje aplikace.
Další kroky
Jakmile nakonfigurujete MongoDB Atlas – jednotné přihlašování, můžete vynutit řízení relací, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Přečtěte si, jak vynutit řízení relací pomocí Programu Microsoft Defender for Cloud Apps.