Puedes mapear tu Grupos deIdP a roles de Cloud Manager. Esto simplifica la configuración de la autorización. Puede otorgar a un grupo de IdP uno o más roles para simplificar su acceso a organizaciones, proyectos y clústeres de Cloud Manager.
Nota
No puedes editar roles para usuarios específicos en el Access Manager página si configura asignaciones de roles para grupos de IdP.
Proceso de mapeo de roles
Cloud Manager aplica las asignaciones de roles cuando inicia sesión.
Cloud Manager compara los grupos de IdP denominados memberOf con las asignaciones de roles definidas para sus organizaciones. Estas organizaciones deben usar el mismo IdP que el usuario usó para autenticarse.
Cloud Manager aplica los roles asignados a los usuarios federados si definió asignaciones de roles.
Cloud Manager aplica el rol predeterminado si:
No ha definido asignaciones de roles, o
Las asignaciones de roles darían como resultado un usuario sin ningún rol.
Las asignaciones de roles de la organización definen el acceso a Cloud Manager de los usuarios federados. Si un usuario federado inicia sesión, pero no pertenece a un grupo de IdP asignado a la organización deseada, Cloud Manager elimina el rol asignado del usuario en esa organización y sus proyectos. El usuario federado aún puede pertenecer a otros grupos de IdP.
Ejemplo
Considere un escenario donde un usuario pertenece al grupo IdP de administrador. Ha configurado una asignación de roles de administrador a
Organization Owneren la Organización A. Si elimina ese usuario del grupo IdP de administrador, Cloud Manager elimina el rol de eseOrganization Ownerusuario la próxima vez que inicie sesión.Cada proyecto debe tener al menos un usuario con el rol. Cloud Manager no eliminará un rol si, al eliminarlo, se elimina al último propietario del
Project Ownerproyecto.Cada organización debe tener al menos un usuario con el rol. Cloud Manager no eliminará un rol si, al eliminarlo, se elimina al último propietario de la
Organization Ownerorganización.
Requisitos previos
Para completar este tutorial, debes tener:
Se creó una aplicación IdP. Esta aplicación debe tener un atributo SAML llamado memberOf. Asigne este atributo a los atributos de origen del IdP para los grupos. Este atributo vincula los grupos IdP con sus roles de MongoDB Atlas.
Vinculó un IdP a Cloud Manager.
Asignó una organización a su IdP.
Creaste al menos un grupo en tu proveedor de identidad.
Añadió al menos un usuario en su aplicación proveedor de identidad a un grupo que creó.
Agregue asignaciones de roles en su organización y sus proyectos
En MongoDB Cloud Manager, vaya a la Organization Settings página.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haga clic en Organization Settings.
Se muestra la página Configuración de la organización.
Elije una organización en la que desees asignar roles.
Haga clic en Manage Organizations.
Cloud Manager muestra todas las organizaciones en las que eres un
Organization Owneren una tabla.Las organizaciones conectadas a la autenticación federada se muestran en la Actions columna.
Las organizaciones que no están conectadas a la autenticación federada muestran Connect en la columna Actions.
Para mapear roles en una organización:
Haga clic en Connect para habilitar la autenticación federada para esa organización si es necesario.
Haga clic y seleccione.View
Asignar roles de organización de Cloud Manager al grupo de IdP deseado. En la etapa Map Group and Assign Roles:
Sección | Acción |
|---|---|
Introduzca el nombre del grupo | Escriba en este campo el nombre del grupo tal como aparece en su IdP. Cloud Manager asigna este grupo a su rol de Cloud Manager. Si el grupo proveedor de identidad no existe, no podrás introducir un nuevo nombre de grupo para crear un nuevo grupo proveedor de identidad. Si usa Azure como Group Id proveedor de identidades (IdP) y seleccionó como atributo de origen, introduzca el ID de objeto del grupo en este campo en lugar del nombre del grupo. Para obtener más información, consulte: ref:cm-configure-azuread-idp`. |
Asignar roles de organización | Haga clic en cada rol de organización de Cloud Manager que desee asignar al grupo de IdP. |
Si no necesita asignar ningún rol de proyecto de Cloud Manager a este grupo de IdP, Finish haga clic en. Puede omitir el resto de este procedimiento.
Si necesita asignar roles de proyecto de Cloud Manager a este grupo de IdP,haga clic Next en.
Asignar roles de proyecto al grupo IdP deseado.
La Assign Project Roles etapa muestra una tabla. Esta tabla incluye los nombres de los proyectos y los roles que puede asignarles. Para cada proyecto, haga clic en los roles que desea asignar al grupo de IdP.
Si no necesita revisar los roles asignados a este grupo de IdP, Finish haga clic en. Puede omitir el resto de este procedimiento.
Si necesita revisar los roles asignados a este grupo de IdP,haga clic Next en.
Verifique qué roles se han asignado al grupo IdP deseado.
La Review and Confirm etapa muestra los roles de organización y proyecto asignados al grupo IdP.
Si está de acuerdo con los roles asignados a este grupo de IdP,haga clic Finish en.
Si necesita cambiar los roles asignados a este grupo de IdP, haga clic en [Aquí]. Cloud Manager regresa a la Map Group and Assign Roles etapa, descrita en el 4 paso.
Editar asignaciones de roles en su organización y sus proyectos
En MongoDB Cloud Manager, vaya a la Organization Settings página.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haga clic en Organization Settings.
Se muestra la página Configuración de la organización.
Seleccione una organización en la que desee editar las asignaciones de roles.
Haga clic en Manage Organizations.
Cloud Manager muestra todas las organizaciones en las que eres un
Organization Owneren una tabla.Haga clic junto al IdP deseado Group Name y View seleccione.
Asignar roles de organización de Cloud Manager al grupo de IdP deseado. En la etapa Map Group and Assign Roles:
Sección | Acción |
|---|---|
Introduzca el nombre del grupo | Escriba en este campo el nombre del grupo tal como aparece en su IdP. Cloud Manager asigna este grupo a su rol de Cloud Manager. Si el grupo proveedor de identidad no existe, no podrás introducir un nuevo nombre de grupo para crear un nuevo grupo proveedor de identidad. Si usa Azure como Group Id proveedor de identidades (IdP) y seleccionó como atributo de origen, introduzca el ID de objeto del grupo en este campo en lugar del nombre del grupo. Para obtener más información, consulte: ref:cm-configure-azuread-idp`. |
Asignar roles de organización | Haga clic en cada rol de organización de Cloud Manager que desee asignar al grupo de IdP. |
Si no necesita asignar ningún rol de proyecto de Cloud Manager a este grupo de IdP, Finish haga clic en. Puede omitir el resto de este procedimiento.
Si necesita asignar roles de proyecto de Cloud Manager a este grupo de IdP,haga clic Next en.
Asignar roles de proyecto al grupo IdP deseado.
La Assign Project Roles etapa muestra una tabla. Esta tabla incluye los nombres de los proyectos y los roles que puede asignarles. Para cada proyecto, haga clic en los roles que desea asignar al grupo de IdP.
Si no necesita revisar los roles asignados a este grupo de IdP, Finish haga clic en. Puede omitir el resto de este procedimiento.
Si necesita revisar los roles asignados a este grupo de IdP,haga clic Next en.
Verifique qué roles se han asignado al grupo IdP deseado.
La Review and Confirm etapa muestra los roles de organización y proyecto asignados al grupo IdP.
Si está de acuerdo con los roles asignados a este grupo de IdP,haga clic Finish en.
Si necesita cambiar los roles asignados a este grupo de IdP, haga clic en [Aquí]. Cloud Manager regresa a la Map Group and Assign Roles etapa, descrita en el 4 paso.
Eliminar un rol asignado en su organización y sus proyectos
En MongoDB Cloud Manager, vaya a la Organization Settings página.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haga clic en Organization Settings.
Se muestra la página Configuración de la organización.
Elije una organización en la que desees asignar roles.
Haga clic en Manage Organizations.
Cloud Manager muestra todas las organizaciones en las que eres un
Organization Owneren una tabla.Las organizaciones conectadas a la autenticación federada se muestran en la Actions columna.
Las organizaciones que no están conectadas a la autenticación federada muestran Connect en la columna Actions.
Para mapear roles en una organización:
Haga clic en Connect para habilitar la autenticación federada para esa organización si es necesario.
Haga clic y seleccione.View
Navegar a la página Organization Role Mappings.
Haga clic en Create Role Mappings.
Cloud Manager muestra la página Organization Role Mappings.
Haga clic a la derecha del grupo IdP que desea eliminar.
Cloud Manager muestra el modal Delete role mappings for this group.
Haga clic en Delete para remover todas las asignaciones de roles de este grupo proveedor de identidad.
Si no desea eliminar todas las asignaciones de roles, haga clic en Cancel.