Поделиться через

Руководство по интеграции единого входа Microsoft Entra с MongoDB Atlas — единый вход

  • Статья

В этом руководстве описано, как интегрировать MongoDB Atlas — единый вход с идентификатором Microsoft Entra. Интеграция MongoDB Atlas с идентификатором Microsoft Entra ID позволяет:

  • Контроль доступа к MongoDB Atlas, сообществу MongoDB, Университету MongoDB и поддержке MongoDB.
  • Включите автоматический вход пользователей в MongoDB Atlas — единый вход с помощью учетных записей Microsoft Entra.
  • Назначьте роли MongoDB Atlas пользователям на основе членства в группах Microsoft Entra.
  • Централизованное управление учетными записями через портал Azure.

Необходимые компоненты

Чтобы приступить к работе, потребуется следующее.

  • Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
  • Подписка MongoDB Atlas — единый вход с поддержкой единого входа.

Описание сценария

В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • MongoDB Atlas — единый вход поддерживает единый вход, инициированный поставщиком услуг и поставщиком удостоверений.
  • MongoDB Atlas — единый вход поддерживает JIT-подготовку пользователей.

Добавление MongoDB Atlas — единый вход из коллекции

Чтобы настроить интеграцию MongoDB Atlas с идентификатором Microsoft Entra ID, необходимо добавить MongoDB Atlas из коллекции в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
  2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
  3. В разделе "Добавление из коллекции" введите MongoDB Atlas — единый вход в поле поиска.
  4. Выберите MongoDB Atlas — единый вход на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для MongoDB Atlas — единый вход

Настройте и проверьте единый вход Microsoft Entra в MongoDB Atlas — единый вход с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в MongoDB Atlas — единый вход.

Чтобы настроить и проверить единый вход Microsoft Entra в MongoDB Atlas — единый вход, выполните следующие действия:

  1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
    1. Создайте тестового пользователя Microsoft Entra и тестовую группу для тестирования единого входа Microsoft Entra с помощью B.Simon.
    2. Назначьте тестового пользователя Или тестовую группу Microsoft Entra, чтобы разрешить B.Simon использовать единый вход Microsoft Entra.
  2. Настройка единого входа в MongoDB Atlas необходима, чтобы настроить параметры единого входа на стороне приложения.
    1. Создайте тестового пользователя MongoDB Atlas SSO, чтобы в MongoDB Atlas был создан пользователь B.Simon, связанный с представлением Microsoft Entra пользователя.
  3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка единого входа Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

  2. Перейдите на страницу интеграции приложений>Identity>Applications>Enterprise MongoDB Atlas — SSO, найдите раздел "Управление". Выберите Единый вход.

  3. На странице Выбрать метод единого входа выберите SAML.

  4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML и изменить эти параметры.

    Screenshot of Set up Single Sign-On with SAML page, with pencil icon highlighted

  5. Если вы хотите настроить приложение в режиме, инициируемом поставщиком удостоверений, в разделе Базовая конфигурация SAML введите значения следующих полей.

    a. В текстовом поле Идентификатор введите URL-адрес в следующем формате: https://www.okta.com/saml2/service-provider/<Customer_Unique>.

    b. В текстовом поле URL-адрес ответа введите URL-адрес в следующем формате: https://auth.mongodb.com/sso/saml2/<Customer_Unique>.

  6. Чтобы настроить приложение для работы в режиме, инициируемом поставщиком услуг, щелкните Задать дополнительные URL-адреса и выполните следующие действия:

    В текстовом поле URL-адрес для входа введите URL-адрес в следующем формате: https://cloud.mongodb.com/sso/<Customer_Unique>.

    Примечание.

    Эти значения приведены для примера. Замените их фактическими значениями идентификатора, URL-адреса ответа и URL-адреса входа. Чтобы получить эти значения, обратитесь в службу поддержки клиентов MongoDB Atlas — SSO. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".

  7. Приложение MongoDB Atlas — единый вход ожидает, что утверждения SAML будут иметь определенный формат, который требует добавления настраиваемых сопоставлений атрибутов в конфигурацию атрибутов токена SAML. На следующем снимке экрана показан список атрибутов по умолчанию.

    Screenshot of default attributes

  8. В дополнение к предыдущим атрибутам приложение MongoDB Atlas — единого входа ожидает несколько дополнительных атрибутов в ответе SAML. Эти атрибуты также заранее заполнены, однако их можно изменить в соответствии с требованиями.

    Имя Атрибут источника
    эл. почта user.userprincipalname
    firstName user.givenname
    lastName user.surname

  9. Если вы хотите авторизовать пользователей с помощью сопоставления ролей MongoDB Atlas, добавьте приведенное ниже утверждение группы для отправки сведений о группе пользователя в утверждении SAML.

    Имя Атрибут источника
    memberOf ИД группы

  10. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML найдите поле XML метаданных федерации. Щелкните Скачать, чтобы получить сертификат и сохранить его на локальном компьютере.

    Screenshot of SAML Signing Certificate section, with Download link highlighted

  11. В разделе "Настройка MongoDB Atlas — единый вход" скопируйте соответствующие URL-адреса в соответствии с вашим требованием.

    Screenshot of Set up Mongo DB Cloud section, with URLs highlighted

Создание тестового пользователя Microsoft Entra и тестовой группы

В этом разделе описано, как создать тестового пользователя B.Simon.

  1. Войдите в Центр администрирования Microsoft Entra как минимум пользователь Администратор istrator.
  2. Перейдите ко всем пользователям удостоверений>>.
  3. Выберите "Создать пользователя>" в верхней части экрана.
  4. В свойствах пользователя выполните следующие действия.
    1. В поле "Отображаемое имя" введите B.Simon.
    2. В поле имени участника-пользователя введите username@companydomain.extensionимя пользователя. Например, B.Simon@contoso.com.
    3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
    4. Выберите Review + create (Просмотреть и создать).
  5. Выберите Создать.

Если вы используете функцию сопоставления ролей MongoDB Atlas для назначения ролей пользователям на основе групп Microsoft Entra, создайте тестовую группу и B.Simon в качестве члена:

  1. Перейдите к группам удостоверений>.
  2. В верхней части экрана щелкните Новый пользователь.
  3. В свойствах группы выполните следующие действия.
    1. Выберите "Безопасность" в раскрывающемся списке Тип группы.
    2. В поле Имя группы введите "Группа 1".
    3. Выберите Создать.

Назначение тестового пользователя Или тестовой группы Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon или Group 1 использовать единый вход Azure, предоставив этому пользователю доступ к MongoDB Atlas — единый вход.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
  2. Перейдите к приложениям>Identity>Applications>Enterprise MongoDB Atlas — единый вход.
  3. На странице "Обзор" приложения найдите раздел Управление и выберите Пользователи и группы.
  4. Выберите Добавить пользователя, а в диалоговом окне Добавление назначения выберите Пользователи и группы.
  5. В диалоговом окне Пользователи и группы выберите B.Simon в списке "Пользователи" или при использовании сопоставлений ролей MongoDB Atlas выберите Группу 1 в списке "Группы", а затем нажмите кнопку Выбрать в нижней части экрана.
  6. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка единого входа MongoDB Atlas

Чтобы настроить единый вход на стороне MongoDB Atlas, необходимо скопировать соответствующие URL-адреса. Вам также нужно настроить приложение федерации для своей организации в MongoDB Atlas. Инструкции см. в документации по MongoDB Atlas. Если возникнет проблема, обратитесь к группе поддержки клиентов MongoDB Atlas.

Настройка сопоставления ролей MongoDB Atlas

Чтобы авторизовать пользователей в MongoDB Atlas на основе членства в группе Microsoft Entra, можно сопоставить идентификаторы объектов группы Microsoft Entra с ролями MongoDB Atlas Organization/Project с помощью сопоставлений ролей Atlas MongoDB. Инструкции см. в документации по MongoDB Atlas. Если возникнет проблема, обратитесь к группе поддержки клиентов MongoDB Atlas.

Создание тестового пользователя MongoDB Atlas SSO

В MongoDB Atlas поддерживается JIT-подготовка пользователей, включенная по умолчанию. Никакие действия с вашей стороны не требуются. Если пользователь еще не существует в MongoDB Atlas, он создается после проверки подлинности.

Проверка единого входа

В этом разделе описана конфигурация единого входа Microsoft Entra с помощью следующих параметров.

Инициация поставщиком услуг:

  • Щелкните "Тестировать это приложение", вы будете перенаправлены по URL-адресу для входа в MongoDB Atlas, где можно инициировать поток входа.

  • Перейдите к URL-адресу входа в MongoDB Atlas напрямую и запустите процесс входа оттуда.

Вход, инициированный поставщиком удостоверений

  • Щелкните "Тестировать это приложение", и вы автоматически войдете в приложение MongoDB Atlas, для которого настроили единый вход.

Вы можете также использовать портал "Мои приложения" корпорации Майкрософт для тестирования приложения в любом режиме. Щелкнув плитку MongoDB Atlas — единый вход в Мои приложения, при настройке в режиме поставщика услуг вы будете перенаправлены на страницу входа приложения для инициации потока входа и при настройке в режиме поставщика удостоверений, вы автоматически войдете в mongoDB Atlas — единый вход, для которого настроили единый вход. Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Следующие шаги

После настройки MongoDB Atlas — единый вход можно применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.