Integrazione SSO di Microsoft Entra con MongoDB Atlas - Single Sign-On
Questo articolo descrive come integrare MongoDB Atlas - SSO con Microsoft Entra ID. Integrando MongoDB Atlas - SSO con Microsoft Entra ID, è possibile:
- Controllare in Microsoft Entra ID chi può accedere a MongoDB Atlas, alla community mongoDB, all'università mongoDB e al supporto mongoDB.
- Abilitare i tuoi utenti all'accesso automatico a MongoDB Atlas - SSO con i loro account Microsoft Entra.
- Assegnare i ruoli di MongoDB Atlas agli utenti in base alle appartenenze ai gruppi di Microsoft Entra.
- Gestire gli account in una posizione centrale: il portale di Azure.
Prerequisiti
Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:
- Un account utente di Microsoft Entra con una sottoscrizione attiva. Se non hai già un account, puoi crearne uno gratuitamente.
- Uno dei ruoli seguenti:
- Sottoscrizione di MongoDB Atlas - accesso Single Sign-On (SSO) abilitato.
Descrizione dello scenario
In questo articolo viene configurato e testato l'accesso SSO di Microsoft Entra in un ambiente di test.
- MongoDB Atlas - SSO supporta SP e SSO avviato da IDP.
- MongoDB Atlas - SSO supporta provisioning utenti JIT.
Aggiungi MongoDB Atlas - SSO dalla raccolta
Per configurare l'integrazione di MongoDB Atlas - SSO in Microsoft Entra ID, è necessario aggiungere MongoDB Atlas - SSO dalla raccolta all'elenco di app SaaS gestite.
- Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministratore di Applicazioni Cloud .
- Passa a Identity>Applications>Enterprise applications>New application.
- Nella sezione Aggiungi dalla raccolta digitare MongoDB Atlas - SSO nella casella di ricerca.
- Selezionare MongoDB Atlas - SSO nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi mentre l'app viene aggiunta al tuo tenant.
In alternativa, è possibile utilizzare anche la procedura guidata di configurazione delle app aziendali . In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare ruoli, nonché esaminare la configurazione dell'accesso SSO. Scopri di più sulle procedure guidate di Microsoft 365.
Configurare e testare l'accesso Single Sign-On (SSO) di Microsoft Entra per MongoDB Atlas
Configurare e testare l'SSO di Microsoft Entra con MongoDB Atlas utilizzando un utente di test denominato B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione collegata tra un utente di Microsoft Entra e l'utente correlato in MongoDB Atlas - SSO.
Per configurare e testare l'accesso SSO di Microsoft Entra con MongoDB Atlas - SSO, seguire questa procedura:
-
Configurare l'accesso Single Sign-On di Microsoft Entra per consentire agli utenti di usare questa funzionalità.
- Creare un utente di test di Microsoft Entra e un gruppo di test per testare l'accesso Single Sign-On di Microsoft Entra con B.Simon.
- Assegnare l'utente di test o il gruppo di test di Microsoft Entra per consentire a B.Simon di utilizzare il Single Sign-On di Microsoft Entra.
-
Configurare il Single Sign-On di MongoDB Atlas per impostare le configurazioni dell'accesso single sign-on dal lato applicazione.
- Creare un utente di test di MongoDB Atlas SSO per avere una controparte di B.Simon in MongoDB Atlas - SSO, collegata alla rappresentazione dell'utente in Microsoft Entra.
- Testare l'accesso SSO per verificare se la configurazione funziona.
Configurare Microsoft Entra SSO
Seguire questa procedura per abilitare l'accesso Single Sign-On di Microsoft Entra.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno un amministratore di applicazioni cloud .
Vai alla pagina di integrazione dell'applicazione Identity>Applicazioni>Enterprise>MongoDB Atlas - SSO, trova la sezione Gestisci. Seleziona accesso singolo.
Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.
Nella pagina Configura Single Sign-On con SAML, selezionare l'icona a forma di matita per Configurazione SAML di base per modificare le impostazioni.
Nella sezione Configurazione SAML di base, se si vuole configurare l'applicazione in modalità avviata dall'IDP, immettere i valori per i campi seguenti:
un. Nella casella di testo identificatore digitare un URL che usa il modello seguente:
https://www.okta.com/saml2/service-provider/<Customer_Unique>
b. Nella casella di testo URL di risposta digitare un URL che usa il modello seguente:
https://auth.mongodb.com/sso/saml2/<Customer_Unique>
Selezionare Impostare URL aggiuntivie seguire questa procedura se si vuole configurare l'applicazione in SP modalità avviata:
Nella casella di testo URL di accesso digitare un URL che usa il modello seguente:
https://cloud.mongodb.com/sso/<Customer_Unique>
Nota
Questi valori non sono reali. Aggiornare questi valori con l'identificatore, l'URL di risposta e l'URL di accesso effettivi. Per ottenere questi valori, contattare il team di supporto clienti di MongoDB Atlas - SSO. È anche possibile fare riferimento ai modelli illustrati nella sezione configurazione SAML di base.
L'applicazione MongoDB Atlas - SSO prevede un formato specifico per le asserzioni SAML. È quindi necessario aggiungere mapping di attributi personalizzati alla configurazione degli attributi del token SAML. Lo screenshot seguente mostra l'elenco degli attributi predefiniti.
Oltre agli attributi precedenti, l'applicazione MongoDB Atlas - SSO prevede il passaggio di altri attributi nella risposta SAML. Questi attributi sono anche pre-popolati, ma è possibile esaminarli in base alle tue esigenze.
Nome Attributo di origine E-mail No improvement needed; keep the original term "user.userprincipalname" as it is. nome nome.utente lastName utente.cognome Se si vuole autorizzare gli utenti a usare MongoDB Atlas mapping dei ruoli, aggiungere l'attestazione di gruppo seguente per inviare le informazioni sul gruppo dell'utente all'interno dell'asserzione SAML.
Nome Attributo di origine membroDi ID gruppo Nella pagina Configurare l'accesso Single Sign-On con SAML, nella sezione certificato di firma SAML individuare XML metadati federazione. Selezionare Scarica per scaricare il certificato e salvarlo nel computer.
Nella sezione Configurare MongoDB Atlas - SSO copiare gli URL appropriati in base alle esigenze.
Creare un utente di test e un gruppo di test di Microsoft Entra
In questa sezione viene creato un utente di test di nome B.Simon.
- Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore utente .
- Navigare verso Identity>Users>All users.
- Selezionare Nuovo utente>Crea nuovo utente, nella parte superiore della schermata.
- Nelle proprietà User seguire questa procedura:
- Nel campo Nome visualizzato immettere
B.Simon
. - Nel campo Nome principale utente immettere il username@companydomain.extension. Ad esempio,
B.Simon@contoso.com
. - Selezionare la casella di controllo Mostra password e quindi annotare il valore visualizzato nella casella Password.
- Selezionare Rivedi e poi crea.
- Nel campo Nome visualizzato immettere
- Selezionare Crea.
Se si usa la funzionalità di mapping dei ruoli di MongoDB Atlas per assegnare ruoli agli utenti in base ai gruppi di Microsoft Entra, creare un gruppo di test e B.Simon come membro:
- Passare a Identity>Groups.
- Selezionare Nuovo gruppo nella parte superiore della schermata.
- Nelle proprietà del gruppo , seguire questi passaggi:
- Selezionare "Sicurezza" nel menu a tendina di tipo gruppo .
- Nel campo Nome gruppo immettere "Gruppo 1".
- Selezionare Crea.
Assegnare l'utente di test o il gruppo di test di Microsoft Entra
In questa sezione si abiliterà B.Simon o Group 1 all'uso dell'accesso Single Sign-On di Azure concedendole l'accesso a MongoDB Atlas - SSO.
- Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministratore di Applicazioni Cloud .
- Naviga fino a Identity>Applications>Enterprise applications>MongoDB Atlas - SSO.
- Nella pagina di panoramica dell'app individuare la sezione Gestisci e selezionare Utenti e gruppi.
- Selezionare Aggiungi utente, quindi selezionare Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.
- Nella finestra di dialogo Utenti e gruppi selezionare B.Simon dall'elenco Utenti o se si usano mapping dei ruoli di MongoDB Atlas, selezionare Gruppo 1 dall'elenco Gruppi; quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.
- Nella finestra di dialogo Add Assignment, cliccare sul pulsante Assegna.
Configurare l'accesso Single Sign-On di MongoDB Atlas
Per configurare l'accesso Single Sign-On in MongoDB Atlas, devi copiare gli URL appropriati. È anche necessario configurare l'applicazione federativa per l'organizzazione Atlas mongoDB. Seguire le istruzioni nella documentazione di MongoDB Atlas . In caso di problemi, contattare il team di supporto di MongoDB.
Configurare il mapping dei ruoli di MongoDB Atlas
Per autorizzare gli utenti in MongoDB Atlas in base all'appartenenza al gruppo Microsoft Entra, è possibile mappare il gruppo Microsoft Entra Object-IDs ai ruoli dell'Organizzazione/Progetto di MongoDB Atlas utilizzando il mapping dei ruoli di MongoDB Atlas. Seguire le istruzioni nella documentazione di MongoDB Atlas . In caso di problemi, contattare il team di supporto di MongoDB.
Creare un utente di test di MongoDB Atlas SSO
MongoDB Atlas supporta la fornitura degli utenti just-in-time, che è abilitata per impostazione predefinita. Non vi è alcuna azione aggiuntiva da intraprendere. Se non esiste già un utente in MongoDB Atlas, ne viene creato uno nuovo dopo l'autenticazione.
Test SSO
In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra con le opzioni seguenti.
Avviato da SP:
Fare clic su Testare questa applicazione, verrà eseguito il reindirizzamento all'URL di accesso di MongoDB Atlas, in cui è possibile avviare il flusso di accesso.
Passare direttamente all'URL di accesso di MongoDB Atlas e avviare il flusso di accesso da questa posizione.
L'IDP è stato avviato:
- Fare clic su Prova questa applicazionee dovresti accedere automaticamente al MongoDB Atlas per il quale hai configurato l'SSO.
È anche possibile usare Microsoft My Apps per testare l'applicazione in qualsiasi modalità. Quando fai clic sul riquadro MongoDB Atlas - SSO nelle mie app, se configurato in modalità SP, verrai reindirizzato alla pagina di accesso dell'applicazione per istanziare il flusso di login. Se configurato in modalità IDP, verrai automaticamente connesso all'istanza di MongoDB Atlas - SSO per cui hai configurato l'SSO. Per altre informazioni sulle app personali, vedere Introduzione alle app personali.
Contenuto correlato
Dopo aver configurato MongoDB Atlas - SSO, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione si estende dall'accesso condizionale. Informazioni su come applicare il controllo sessione con Microsoft Defender for Cloud Apps.