Поделиться через

Интеграция SSO Microsoft Entra с MongoDB Atlas

  • Статья

В этой статье вы узнаете, как интегрировать MongoDB Atlas — единый вход с идентификатором Microsoft Entra. При интеграции MongoDB Atlas с Microsoft Entra ID для единого входа (SSO) вы можете:

  • Управляйте в Microsoft Entra ID тем, кто имеет доступ к MongoDB Atlas, сообществу MongoDB, Университету MongoDB и поддержке MongoDB.
  • Включите автоматический вход пользователей в MongoDB Atlas — единый вход с помощью учетных записей Microsoft Entra.
  • Назначьте роли MongoDB Atlas пользователям на основе членства в группах Microsoft Entra.
  • Управление учетными записями в одном центральном расположении: портал Azure.

Необходимые условия

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

  • Подписка MongoDB Atlas с включенной поддержкой единого входа (SSO).

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • MongoDB Atlas - SSO поддерживает SSO, инициированный SP и IDP.
  • MongoDB Atlas — поддержка SSO Just In Time предоставления пользователей.

Добавление MongoDB Atlas — SSO из каталога

Чтобы настроить интеграцию MongoDB Atlas - SSO с Microsoft Entra ID, необходимо добавить MongoDB Atlas - SSO из галереи в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора облачных приложений.
  2. Перейдите к Идентичности>приложениям>Корпоративные приложения>Новое приложение.
  3. В разделе Добавление из коллекции в поле поиска введите MongoDB Atlas - SSO.
  4. Выберите MongoDB Atlas — SSO на панели результатов и добавьте приложение. Подождите несколько секунд, пока приложение добавляется в клиент.

Кроме того, можно использовать мастер настройки корпоративных приложений . В этом мастере вы можете добавить приложение в свой клиент, добавить пользователей и группы в приложение, назначить роли, а также пройти через настройку единого входа. Дополнительные сведения о мастерах Microsoft 365.

Настройка и тестирование единого входа Microsoft Entra для MongoDB Atlas (SSO)

Настройте и протестируйте единый вход Microsoft Entra в MongoDB Atlas с использованием тестового пользователя B.Simon. Чтобы SSO работал корректно, необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в MongoDB Atlas — SSO.

Чтобы настроить и проверить единый вход Microsoft Entra с MongoDB Atlas, выполните следующие действия:

  1. настроить единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
    1. Создание тестового пользователя Microsoft Entra и тестовой группы для тестирования единого входа Microsoft Entra с помощью B.Simon.
    2. Назначьте тестового пользователя Microsoft Entra или тестовую группу, чтобы B.Simon мог использовать единый вход Microsoft Entra.
  2. Настройте SSO MongoDB Atlas для настройки параметров единого входа на стороне приложения.
    1. Создайте тестового пользователя в MongoDB Atlas SSO для создания аналога B.Simon в MongoDB Atlas - SSO, связанного с представлением пользователя в Microsoft Entra.
  3. Тест SSO для проверки работоспособности конфигурации.

Конфигурация Единого Входа Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra в качестве по крайней мере администратора облачных приложений.

  2. Перейдите на страницу интеграции приложения Identity>Приложения>Корпоративные приложения>MongoDB Atlas — SSO, найдите раздел "Управление". Выберите систему единого входа.

  3. На странице "Выберите способ единого входа" выберите SAML.

  4. На странице Настройка одной Sign-On с помощью SAML выберите значок карандаша для базовой конфигурации SAML, чтобы изменить параметры.

    снимок экрана: настройка одной Sign-On со страницей SAML с выделенным значком карандаша

  5. В разделе базовой конфигурации SAML, если вы хотите настроить приложение в режиме, инициированном IDP, введите значения для следующих полей:

    a. В текстовом поле идентификатора введите URL-адрес, использующий следующий шаблон: https://www.okta.com/saml2/service-provider/<Customer_Unique>

    b. В текстовом поле URL-адрес ответа введите URL-адрес, использующий следующий шаблон: https://auth.mongodb.com/sso/saml2/<Customer_Unique>

  6. Выберите Задать дополнительные URL-адресаи выполните следующий шаг, если вы хотите настроить приложение в режиме, инициированном пакетом обновления :

    В текстовом поле URL для входа введите URL, который использует следующий шаблон: https://cloud.mongodb.com/sso/<Customer_Unique>

    Заметка

    Эти значения не являются реальными. Обновите эти значения фактическим идентификатором, URL-адресом ответа и URL-адресом входа. Чтобы получить эти значения, обратитесь в службу поддержки клиентов MongoDB Atlas SSO . Вы также можете ссылаться на шаблоны, показанные в разделе Базовая конфигурация SAML.

  7. Приложение MongoDB Atlas для единого входа (SSO) ожидает, что утверждения SAML будут находиться в конкретном формате, что требует добавления пользовательских атрибутов и их сопоставлений в конфигурацию атрибутов токена SAML. На следующем снимка экрана показан список атрибутов по умолчанию.

    снимок экрана атрибутов по умолчанию

  8. В дополнение к предыдущим атрибутам приложение MongoDB Atlas — SSO ожидает, что в ответе SAML будут переданы обратно несколько дополнительных атрибутов. Эти атрибуты также предварительно заполнены, но их можно просмотреть в соответствии с вашими требованиями.

    Имя Исходный атрибут
    электронная почта user.userprincipalname
    имя user.givenname
    lastName пользователь.фамилия

  9. Если вы хотите авторизовать пользователей с помощью сопоставлений ролей MongoDB Atlas и, добавьте следующую претензию о группе, чтобы отправить сведения о группе пользователя в SAML-претензии.

    Имя Исходный атрибут
    членГруппы Идентификатор группы

  10. На странице Настройка единого входа с помощью SAML в разделе SAML сертификат подписи, найдите XML-метаданные федерации . Выберите Скачать, чтобы скачать сертификат и сохранить его на компьютере.

    снимок экрана раздела

  11. В разделе Настройка MongoDB Atlas — единый вход скопируйте соответствующие URL-адреса в соответствии с вашим требованием.

    снимок экрана раздела

Создание тестового пользователя Microsoft Entra и тестовой группы

В этом разделе описано, как создать тестового пользователя B.Simon.

  1. Войдите в центр администрирования Microsoft Entra как минимум в роли Администратора пользователей.
  2. Перейдите к Identity>Users>Все пользователи.
  3. Выберите Новый пользователь>Создать пользователяв верхней части экрана.
  4. В свойствах пользователя выполните следующие действия.
    1. В поле Отображаемое имя введите B.Simon.
    2. В поле основное имя пользователя введите username@companydomain.extension. Например, B.Simon@contoso.com.
    3. Установите флажок Показать пароль, а затем запишите значение, отображаемое в поле Password.
    4. Выберите Проверка + создание.
  5. Выберите Создать.

Если вы используете функцию сопоставления ролей MongoDB Atlas для назначения ролей пользователям на основе групп Microsoft Entra, создайте тестовую группу и B.Simon в качестве члена:

  1. Перейдите к удостоверений>группы.
  2. Выберите Новая группа в верхней части экрана.
  3. В свойствах группы выполните следующие действия.
    1. Выберите "Безопасность" в раскрывающемся списке "Тип группы ",.
    2. В поле имя группы введите "Группа 1".
    3. Выберите Создать.

Назначьте тестового пользователя или тестовую группу Microsoft Entra

В этом разделе вы сможете предоставить доступ к MongoDB Atlas - SSO для B.Simon или группы Group 1, чтобы использовать единый вход Azure.

  1. Войдите в Центр администрирования Microsoft Entra в качестве по крайней мере администратора облачных приложений.
  2. Перейдите к Identity>приложениям>корпоративным приложениям>MongoDB Atlas - SSO (единый вход).
  3. На странице обзора приложения найдите раздел "Управление" и выберите "Пользователи и группы".
  4. Выберите Добавить пользователя, а затем в диалоговом окне Добавить назначение выберите Пользователи и группы.
  5. В диалоговом окне Пользователи и группы выберите B.Simon из списка пользователей или если вы используете сопоставления ролей MongoDB Atlas, выберите группу 1 из списка групп; затем нажмите кнопку Выбрать в нижней части экрана.
  6. В диалоговом окне Добавить задание нажмите кнопку Назначить.

Настройка SSO для MongoDB Atlas

Чтобы настроить единый вход на стороне MongoDB Atlas, необходимо скопировать соответствующие URL-адреса. Кроме того, необходимо настроить приложение федерации для организации MongoDB Atlas. Следуйте инструкциям в документации MongoDB Atlas. Если у вас возникли проблемы, обратитесь в службу поддержки MongoDB .

Настройка сопоставления ролей MongoDB Atlas

Чтобы авторизовать пользователей в MongoDB Atlas на основе членства в группе Microsoft Entra, можно сопоставить Object-IDs группы Microsoft Entra с ролями Организации и проекта MongoDB Atlas с помощью сопоставлений ролей MongoDB Atlas. Следуйте инструкциям в документации MongoDB Atlas. Если у вас возникли проблемы, обратитесь в службу поддержки MongoDB .

Создание тестового пользователя MongoDB Atlas SSO

MongoDB Atlas поддерживает создание пользователей в режиме реального времени, что включено по умолчанию. Вам не нужно предпринимать никаких дополнительных действий. Если пользователь еще не существует в MongoDB Atlas, он создается после проверки подлинности.

Тестирование единого входа

В этом разделе вы тестируете вашу конфигурацию единого входа Microsoft Entra с использованием следующих параметров.

Инициировано поставщиком услуг:

  • Щелкните Протестируйте это приложение, вы будете перенаправлены по URL-адресу для входа в MongoDB Atlas, где можно инициировать поток входа.

  • Перейдите непосредственно по URL-адресу для входа в MongoDB Atlas и начните процесс авторизации.

Инициатор IDP:

  • Щелкните Протестируйте это приложение, и вы автоматически войдете в приложение MongoDB Atlas, для которого настроили единый вход.

Вы также можете использовать Microsoft My Apps для тестирования приложения в любом режиме. Щелкнув на плитке MongoDB Atlas - SSO в разделе "Мои приложения", если конфигурация выполнена в режиме SP, вы будете перенаправлены на страницу входа в приложение для начала процесса авторизации. Если же настроено в режиме IDP, вы автоматически войдете в MongoDB Atlas - SSO, где настроен единый вход. Дополнительные сведения о "My Apps" см. в разделе "Введение в My Apps".

Связанное содержимое

После настройки MongoDB Atlas — единый вход можно применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Элемент управления сеансом расширяется от условного доступа. Узнайте, как применить управление сеансами с помощью Microsoft Defender для облачных приложений.