Puedes mapear tus proveedor de identidad grupos a roles de Cloud Manager. Esto agiliza la configuración de autorizaciones. Puede conceder a un grupo de proveedor de identidad uno o más roles para simplificar su acceso a organizaciones, proyectos y clústeres de Cloud Manager.
Nota
No puedes editar los roles de usuarios específicos en el Access Manager página si configura asignaciones de roles para los grupos de proveedor de identidad.
Proceso de mapeo de roles
Cloud Manager aplica las asignaciones de roles cuando inicia sesión.
Cloud Manager compara los grupos de proveedor de identidad llamados memberOf con los mapeos de roles definidos para tus organizaciones. Estas organizaciones deben usar el mismo proveedor de identidad que utilizó el usuario para autenticarse.
Cloud Manager aplica los roles asignados a los usuarios federados si se han definido asignaciones de roles.
Cloud Manager aplica el rol predeterminado si:
No has definido mapeos de roles, o
Las asignaciones de roles darían lugar a un usuario sin ningún rol.
Los mapeos de roles de la organización definen el acceso de los usuarios federados a Cloud Manager. Si un usuario federado inicia sesión pero no pertenece a un grupo proveedor de identidad mapeado a una organización deseada, Cloud Manager remueve el rol mapeado del usuario en esa organización y en sus Proyectos. El usuario federado aún puede pertenecer a otros grupos proveedor de identidad.
Ejemplo
Considera un escenario en el que una persona usuaria pertenece al grupo admin proveedor de identidad. Has configurado una asignación de roles de administrador al
Organization Owneren Organization A. Si eliminas a ese usuario del grupo de admin proveedor de identidad, Cloud Manager elimina el rol de ese usuarioOrganization Ownercuando el usuario inicia sesión la próxima vez.Cada proyecto debe tener al menos un usuario con el rol de
Project Owner. Cloud Manager no removerá un rol si al hacerlo se remueve el último propietario de un proyecto.Cada organización debe tener al menos un usuario que tenga el rol de
Organization Owner. Cloud Manager no removerá un rol si al remover se elimina al último propietario de una organización.
Requisitos previos
Para completar este tutorial, debes tener:
Se creó una aplicación proveedor de identidad. Esta aplicación debe tener un atributo SAML llamado memberOf. Asocia este atributo a los atributos de origen proveedor de identidad para los grupos. Este atributo vincula los grupos de proveedor de identidad con tus roles de MongoDB Atlas.
Vinculó un proveedor de identidad a Cloud Manager.
Asociaste una organización a tu proveedor de identidad.
Creaste al menos un grupo en tu proveedor de identidad.
Añadió al menos un usuario en su aplicación proveedor de identidad a un grupo que creó.
Agrega asignaciones de roles en tu Organización y sus proyectos
En MongoDB Cloud Manager, vaya a la página Organization Settings.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haga clic en Organization Settings.
Se muestra la página Configuración de la organización.
Elije una organización en la que desees asignar roles.
Haga clic en Manage Organizations.
Cloud Manager muestra todas las organizaciones donde eres un
Organization Owneren una tabla.Las organizaciones conectadas a la autenticación federada muestran en la columna Actions.
Las organizaciones que no están conectadas a la autenticación federada muestran Connect en la columna Actions.
Para mapear roles en una organización:
Haz clic en Connect para habilitar la autenticación federada para esa organización si es necesario.
Haz clic en y selecciona View.
Asignar los roles de la organización de Cloud Manager al grupo de proveedor de identidad deseado. En la etapa Map Group and Assign Roles:
Sección | Acción |
|---|---|
Ingrese el nombre del grupo | Escribe el nombre del grupo tal como aparece en tu proveedor de identidad en este campo. Cloud Manager asigna este grupo a su rol de Cloud Manager. Si el grupo proveedor de identidad no existe, no podrás introducir un nuevo nombre de grupo para crear un nuevo grupo proveedor de identidad. Si usas Azure como tu proveedor de identidad y seleccionaste Group Id como tu atributo de origen, ingresa el ID de objeto del grupo en este campo en lugar del nombre del grupo. Para obtener más información, consulte :ref:cm-configure-azuread-idp`. |
Asignar roles de la organización | Haz clic en cada rol organizacional de Cloud Manager que desees asignar al grupo proveedor de identidad. |
Si no necesitas asignar ningún rol de proyecto de Cloud Manager a este grupo de proveedor de identidad, haz clic en Finish. Puedes saltarte el resto de este procedimiento.
Si necesitas asignar roles de proyecto de Cloud Manager a este grupo de proveedor de identidad, haz clic en Next.
Asignar roles de proyecto al grupo de proveedor de identidad deseado.
La etapa Assign Project Roles muestra una tabla. Esta tabla incluye los nombres de los proyectos y los roles que puedes asignar a estos proyectos. Para cada proyecto, haz clic en los roles del proyecto que deseas asignar al grupo de proveedor de identidad.
Si no necesita revisar los roles asignados a este grupo de proveedor de identidad, haz clic en Finish. Puedes saltarte el resto de este procedimiento.
Si necesitas revisar los roles asignados a este grupo de proveedor de identidad, haz clic en Next.
Verifica qué roles se han asignado al grupo proveedor de identidad deseado.
La etapa Review and Confirm muestra la organización y los roles de proyecto asignados al grupo proveedor de identidad.
Si está de acuerdo con los roles asignados a este grupo proveedor de identidad, haga clic en Finish.
Si necesitas cambiar los roles asignados a este grupo proveedor de identidad, haz clic en . Cloud Manager vuelve a la etapa Map Group and Assign Roles, descrita en el paso 4.
Editar asignaciones de rol en la organización y sus proyectos
En MongoDB Cloud Manager, vaya a la página Organization Settings.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haga clic en Organization Settings.
Se muestra la página Configuración de la organización.
Elige una organización en la que desees editar los mapeos de roles.
Haga clic en Manage Organizations.
Cloud Manager muestra todas las organizaciones donde eres un
Organization Owneren una tabla.Haz clic en junto al proveedor de identidad Group Name deseado y selecciona View.
Navegar a la página Create Role Mapping For Your Users.
Haga clic en Create Role Mappings.
Cloud Manager muestra la página Organization Role Mappings.
Haz clic en a la derecha del grupo proveedor de identidad que deseas cambiar.
Cloud Manager muestra la página Edit Your Role Mapping For This Organization.
Asignar los roles de la organización de Cloud Manager al grupo de proveedor de identidad deseado. En la etapa Map Group and Assign Roles:
Sección | Acción |
|---|---|
Ingrese el nombre del grupo | Escribe el nombre del grupo tal como aparece en tu proveedor de identidad en este campo. Cloud Manager asigna este grupo a su rol de Cloud Manager. Si el grupo proveedor de identidad no existe, no podrás introducir un nuevo nombre de grupo para crear un nuevo grupo proveedor de identidad. Si usas Azure como tu proveedor de identidad y seleccionaste Group Id como tu atributo de origen, ingresa el ID de objeto del grupo en este campo en lugar del nombre del grupo. Para obtener más información, consulte :ref:cm-configure-azuread-idp`. |
Asignar roles de la organización | Haz clic en cada rol organizacional de Cloud Manager que desees asignar al grupo proveedor de identidad. |
Si no necesitas asignar ningún rol de proyecto de Cloud Manager a este grupo de proveedor de identidad, haz clic en Finish. Puedes saltarte el resto de este procedimiento.
Si necesitas asignar roles de proyecto de Cloud Manager a este grupo de proveedor de identidad, haz clic en Next.
Asignar roles de proyecto al grupo de proveedor de identidad deseado.
La etapa Assign Project Roles muestra una tabla. Esta tabla incluye los nombres de los proyectos y los roles que puedes asignar a estos proyectos. Para cada proyecto, haz clic en los roles del proyecto que deseas asignar al grupo de proveedor de identidad.
Si no necesita revisar los roles asignados a este grupo de proveedor de identidad, haz clic en Finish. Puedes saltarte el resto de este procedimiento.
Si necesitas revisar los roles asignados a este grupo de proveedor de identidad, haz clic en Next.
Verifica qué roles se han asignado al grupo proveedor de identidad deseado.
La etapa Review and Confirm muestra la organización y los roles de proyecto asignados al grupo proveedor de identidad.
Si está de acuerdo con los roles asignados a este grupo proveedor de identidad, haga clic en Finish.
Si necesitas cambiar los roles asignados a este grupo proveedor de identidad, haz clic en . Cloud Manager vuelve a la etapa Map Group and Assign Roles, descrita en el paso 4.
Remueve una asignación de roles en tu organización y sus proyectos
En MongoDB Cloud Manager, vaya a la página Organization Settings.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haga clic en Organization Settings.
Se muestra la página Configuración de la organización.
Elije una organización en la que desees asignar roles.
Haga clic en Manage Organizations.
Cloud Manager muestra todas las organizaciones donde eres un
Organization Owneren una tabla.Las organizaciones conectadas a la autenticación federada muestran en la columna Actions.
Las organizaciones que no están conectadas a la autenticación federada muestran Connect en la columna Actions.
Para mapear roles en una organización:
Haz clic en Connect para habilitar la autenticación federada para esa organización si es necesario.
Haz clic en y selecciona View.
Navegar a la página Organization Role Mappings.
Haga clic en Create Role Mappings.
Cloud Manager muestra la página Organization Role Mappings.
Haga clic en a la derecha del grupo proveedor de identidad que desea remover.
Cloud Manager muestra el modal Delete role mappings for this group.
Haga clic en Delete para remover todas las asignaciones de roles de este grupo proveedor de identidad.
Si no quieres remover todas las asignaciones de roles, haz clic en Cancel.