Puedes mapear tu Grupos deIdP a roles de Cloud Manager. Esto simplifica la configuración de la autorización. Puede otorgar a un grupo de IdP uno o más roles para simplificar su acceso a organizaciones, proyectos y clústeres de Cloud Manager.
Nota
No puedes editar roles para usuarios específicos en el Access Manager página si configura asignaciones de roles para los grupos de proveedor de identidad.
Proceso de mapeo de roles
Cloud Manager aplica las asignaciones de roles cuando inicia sesión.
Cloud Manager compara los grupos de proveedor de identidad llamados memberOf con los mapeos de roles definidos para tus organizaciones. Estas organizaciones deben usar el mismo proveedor de identidad que utilizó el usuario para autenticarse.
Cloud Manager aplica los roles asignados a los usuarios federados si definió asignaciones de roles.
Cloud Manager aplica el rol predeterminado si:
No has definido mapeos de roles, o
Las asignaciones de roles darían lugar a un usuario sin ningún rol.
Los mapeos de roles de la organización definen el acceso de los usuarios federados a Cloud Manager. Si un usuario federado inicia sesión pero no pertenece a un grupo proveedor de identidad mapeado a una organización deseada, Cloud Manager remueve el rol mapeado del usuario en esa organización y en sus Proyectos. El usuario federado aún puede pertenecer a otros grupos proveedor de identidad.
Ejemplo
Considera un escenario en el que una persona usuaria pertenece al grupo admin proveedor de identidad. Has configurado una asignación de roles de administrador al
Organization Owneren Organization A. Si eliminas a ese usuario del grupo de admin proveedor de identidad, Cloud Manager elimina el rol de ese usuarioOrganization Ownercuando el usuario inicia sesión la próxima vez.Cada proyecto debe tener al menos un usuario con el rol. Cloud Manager no eliminará un rol si, al eliminarlo, se elimina al último propietario del
Project Ownerproyecto.Cada organización debe tener al menos un usuario que tenga el rol de
Organization Owner. Cloud Manager no removerá un rol si al remover se elimina al último propietario de una organización.
Requisitos previos
Para completar este tutorial, debes tener:
Se creó una aplicación IdP. Esta aplicación debe tener un atributo SAML llamado memberOf. Asigne este atributo a los atributos de origen del IdP para los grupos. Este atributo vincula los grupos IdP con sus roles de MongoDB Atlas.
Vinculó un proveedor de identidad a Cloud Manager.
Asociaste una organización a tu proveedor de identidad.
Creaste al menos un grupo en tu proveedor de identidad.
Añadió al menos un usuario en su aplicación proveedor de identidad a un grupo que creó.
Agrega asignaciones de roles en tu Organización y sus proyectos
En MongoDB Cloud Manager, vaya a la página Organization Settings.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haga clic en Organization Settings.
Se muestra la página Configuración de la organización.
Elije una organización en la que desees asignar roles.
Haga clic en Manage Organizations.
Cloud Manager muestra todas las organizaciones donde eres un
Organization Owneren una tabla.Las organizaciones conectadas a la autenticación federada muestran en la columna Actions.
Las organizaciones que no están conectadas a la autenticación federada muestran Connect en la columna Actions.
Para mapear roles en una organización:
Haga clic en Connect para habilitar la autenticación federada para esa organización si es necesario.
Haz clic en y selecciona View.
Asignar roles de organización de Cloud Manager al grupo de IdP deseado. En la etapa Map Group and Assign Roles:
Sección | Acción |
|---|---|
Introduzca el nombre del grupo | Escriba en este campo el nombre del grupo tal como aparece en su IdP. Cloud Manager asigna este grupo a su rol de Cloud Manager. Si el grupo proveedor de identidad no existe, no podrás introducir un nuevo nombre de grupo para crear un nuevo grupo proveedor de identidad. Si usa Azure como Group Id proveedor de identidades (IdP) y seleccionó como atributo de origen, introduzca el ID de objeto del grupo en este campo en lugar del nombre del grupo. Para obtener más información, consulte: ref:cm-configure-azuread-idp`. |
Asignar roles de la organización | Haz clic en cada rol organizacional de Cloud Manager que desees asignar al grupo proveedor de identidad. |
Si no necesitas asignar ningún rol de proyecto de Cloud Manager a este grupo de proveedor de identidad, haz clic en Finish. Puedes saltarte el resto de este procedimiento.
Si necesitas asignar roles de proyecto de Cloud Manager a este grupo de proveedor de identidad, haz clic en Next.
Asignar roles de proyecto al grupo de proveedor de identidad deseado.
La etapa Assign Project Roles muestra una tabla. Esta tabla incluye los nombres de los proyectos y los roles que puedes asignar a estos proyectos. Para cada proyecto, haz clic en los roles del proyecto que deseas asignar al grupo de proveedor de identidad.
Si no necesita revisar los roles asignados a este grupo de proveedor de identidad, haz clic en Finish. Puedes saltarte el resto de este procedimiento.
Si necesitas revisar los roles asignados a este grupo de proveedor de identidad, haz clic en Next.
Verifique qué roles se han asignado al grupo IdP deseado.
La Review and Confirm etapa muestra los roles de organización y proyecto asignados al grupo IdP.
Si está de acuerdo con los roles asignados a este grupo de IdP,haga clic Finish en.
Si necesita cambiar los roles asignados a este grupo de IdP, haga clic en [Aquí]. Cloud Manager regresa a la Map Group and Assign Roles etapa, descrita en el paso 4.
Editar asignaciones de roles en su organización y sus proyectos
En MongoDB Cloud Manager, vaya a la página Organization Settings.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haga clic en Organization Settings.
Se muestra la página Configuración de la organización.
Seleccione una organización en la que desee editar las asignaciones de roles.
Haga clic en Manage Organizations.
Cloud Manager muestra todas las organizaciones donde eres un
Organization Owneren una tabla.Haz clic en junto al proveedor de identidad Group Name deseado y selecciona View.
Navegar a la página Create Role Mapping For Your Users.
Haga clic en Create Role Mappings.
Cloud Manager muestra la página Organization Role Mappings.
Haz clic en a la derecha del grupo proveedor de identidad que deseas cambiar.
Cloud Manager muestra la página Edit Your Role Mapping For This Organization.
Asignar roles de organización de Cloud Manager al grupo de IdP deseado. En la etapa Map Group and Assign Roles:
Sección | Acción |
|---|---|
Introduzca el nombre del grupo | Escriba en este campo el nombre del grupo tal como aparece en su IdP. Cloud Manager asigna este grupo a su rol de Cloud Manager. Si el grupo proveedor de identidad no existe, no podrás introducir un nuevo nombre de grupo para crear un nuevo grupo proveedor de identidad. Si usa Azure como Group Id proveedor de identidades (IdP) y seleccionó como atributo de origen, introduzca el ID de objeto del grupo en este campo en lugar del nombre del grupo. Para obtener más información, consulte: ref:cm-configure-azuread-idp`. |
Asignar roles de la organización | Haz clic en cada rol organizacional de Cloud Manager que desees asignar al grupo proveedor de identidad. |
Si no necesitas asignar ningún rol de proyecto de Cloud Manager a este grupo de proveedor de identidad, haz clic en Finish. Puedes saltarte el resto de este procedimiento.
Si necesitas asignar roles de proyecto de Cloud Manager a este grupo de proveedor de identidad, haz clic en Next.
Asignar roles de proyecto al grupo de proveedor de identidad deseado.
La etapa Assign Project Roles muestra una tabla. Esta tabla incluye los nombres de los proyectos y los roles que puedes asignar a estos proyectos. Para cada proyecto, haz clic en los roles del proyecto que deseas asignar al grupo de proveedor de identidad.
Si no necesita revisar los roles asignados a este grupo de proveedor de identidad, haz clic en Finish. Puedes saltarte el resto de este procedimiento.
Si necesitas revisar los roles asignados a este grupo de proveedor de identidad, haz clic en Next.
Verifique qué roles se han asignado al grupo IdP deseado.
La Review and Confirm etapa muestra los roles de organización y proyecto asignados al grupo IdP.
Si está de acuerdo con los roles asignados a este grupo de IdP,haga clic Finish en.
Si necesita cambiar los roles asignados a este grupo de IdP, haga clic en [Aquí]. Cloud Manager regresa a la Map Group and Assign Roles etapa, descrita en el paso 4.
Eliminar un rol asignado en su organización y sus proyectos
En MongoDB Cloud Manager, vaya a la página Organization Settings.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haga clic en Organization Settings.
Se muestra la página Configuración de la organización.
Elije una organización en la que desees asignar roles.
Haga clic en Manage Organizations.
Cloud Manager muestra todas las organizaciones donde eres un
Organization Owneren una tabla.Las organizaciones conectadas a la autenticación federada muestran en la columna Actions.
Las organizaciones que no están conectadas a la autenticación federada muestran Connect en la columna Actions.
Para mapear roles en una organización:
Haga clic en Connect para habilitar la autenticación federada para esa organización si es necesario.
Haz clic en y selecciona View.
Navegar a la página Organization Role Mappings.
Haga clic en Create Role Mappings.
Cloud Manager muestra la página Organization Role Mappings.
Haga clic a la derecha del grupo IdP que desea eliminar.
Cloud Manager muestra el modal Delete role mappings for this group.
Haga clic en Delete para remover todas las asignaciones de roles de este grupo proveedor de identidad.
Si no quieres remover todas las asignaciones de roles, haz clic en Cancel.