Docs Menu
Docs Home
/
言語
/
Go
/
Go Driver
/
セキュリティ
/
認証

OIDC 認証メカニズム

Overview

重要

MONGODB-OIDC 認証メカニズムでは、Linux プラットフォーム上で MongoDB Server v 7.0以降を実行する必要があります。

Go ドライバーは、ワークロード IDの OpenID Connect( OIDC )認証をサポートしています。 ワークロード ID は、他のサービスとリソースを認証してアクセスするために、アプリケーション、サービス、スクリプト、またはコンテナなどのソフトウェア ワークロードに割り当てる ID です。

次のセクションでは、MONGODB-OIDC 認証メカニズムを使用してさまざまなプラットフォームに認証する方法について説明します。

MONGODB-OIDC認証メカニズムの詳細については、 MongoDB Serverマニュアルの「 OpenID Connect 認証とMongoDB Serverパラメーター 」を参照してください。

Azure IMDS

アプリケーションがAzure VM 上で実行されている場合、またはAzure Instance Metadata Service ( IMDS)を使用している場合は、 Goドライバーに組み込まれているAzureサポートを使用してMongoDBを認証できます。

次の方法で Azure IMDS 用の OIDC を構成できます。

  • Credential 構造体を作成し、それを SetAuth() メソッドに渡すことで、クライアントの作成時に

  • 接続stringにパラメーターを設定することで

注意

AuthMechanismProperties構造体フィールド値にカンマが含まれている場合は、認証オプションを設定するためにCredentialインスタンスを作成する必要があります。

まず、次の例に示すように、認証メカニズムのプロパティを保存するためのマップを作成します。 <audience>プレースホルダーを、MongoDB 配置に設定されたaudienceパラメータの値に置き換えます。

props := map[string]string{
       "ENVIRONMENT":    "azure",
       "TOKEN_RESOURCE": "<audience>",
}

次に、次のCredential構造体フィールドを設定します。

  • Username: Azure マネージド ID を使用している場合は、管理対象 ID のクライアント ID にこれを設定します。 サービス プリンシパル を使用してエンタープライズ アプリケーションを表す場合は、これをサービス プリンシパルのアプリケーション ID に設定します。

  • AuthMechanism: "MONGODB-OIDC"に設定します。

  • AuthMechanismProperties: 以前に作成したpropsマップに設定します。

次のコード例は、 Clientの作成時にこれらのオプションを設定する方法を示しています。

uri := "mongodb://<hostname>:<port>"
props := map[string]string{
	"ENVIRONMENT":    "azure",
	"TOKEN_RESOURCE": "<audience>",
}
opts := options.Client().ApplyURI(uri)
opts.SetAuth(
	options.Credential{
		Username:                "<Azure client ID or application ID>",
		AuthMechanism:           "MONGODB-OIDC",
		AuthMechanismProperties: props,
	},
)
client, err := mongo.Connect(opts)
if err != nil {
	panic(err)
}

接続stringに次の接続オプションを含めます。

  • username: Azure マネージド ID を使用している場合は、管理対象 ID のクライアント ID にこれを設定します。 サービス プリンシパル を使用してエンタープライズ アプリケーションを表す場合は、これをサービス プリンシパルのアプリケーション ID に設定します。

  • authMechanism: MONGODB-OIDCに設定します。

  • authMechanismProperties: ENVIRONMENT:azure,TOKEN_RESOURCE:<audience>に設定します。 <audience>プレースホルダーを、MongoDB 配置に設定されたaudienceパラメータの値に置き換えます。

次のコード例は、 接続stringでこれらのオプションを設定する方法を示しています。

uri := "mongodb://<hostname>:<port>/?" +
     "username=<Azure client ID or application ID>" +
     "&authMechanism=MONGODB-OIDC" +
     "&authMechanismProperties=ENVIRONMENT:azure,TOKEN_RESOURCE:<percent-encoded audience>"
client, err := mongo.Connect(options.Client().ApplyURI(uri))
if err != nil {
  panic(err)
}

Tip

アプリケーションが Azure VM で実行されており、VM に関連付けられている管理対象 ID が 1 つだけの場合は、 username接続オプションを省略できます。

GCP IMDS

アプリケーションが Google Compute Engine VM で実行され、または GCP インスタンス メタデータ サービス を使用している場合 では、Go ドライバーに組み込まれている GCP サポートを使用して MongoDB に認証できます。

GCP IMDS 用の OIDC は次の方法で構成できます。

  • Credential構造体を作成し、それをSetAuth()メソッドに渡すことで、クライアントの作成時に

  • 接続stringにパラメーターを設定することで

注意

AuthMechanismProperties構造体フィールド値にカンマが含まれている場合は、認証オプションを設定するためにCredentialインスタンスを作成する必要があります。

まず、次の例に示すように、認証メカニズムのプロパティを保存するためのマップを作成します。 <audience>プレースホルダーを、MongoDB 配置に設定されたaudienceパラメータの値に置き換えます。

props := map[string]string{
       "ENVIRONMENT":    "gcp",
       "TOKEN_RESOURCE": "<audience>",
}

次に、次のCredential構造体フィールドを設定します。

  • AuthMechanism: "MONGODB-OIDC"に設定します。

  • AuthMechanismProperties: 以前に作成したpropsマップに設定します。

次のコード例は、 Clientの作成時にこれらのオプションを設定する方法を示しています。

uri := "mongodb://<hostname>:<port>"
props := map[string]string{
	"ENVIRONMENT":    "gcp",
	"TOKEN_RESOURCE": "<audience>",
}
opts := options.Client().ApplyURI(uri)
opts.SetAuth(
	options.Credential{
		AuthMechanism:           "MONGODB-OIDC",
		AuthMechanismProperties: props,
	},
)
client, err := mongo.Connect(opts)
if err != nil {
	panic(err)
}

接続stringに次の接続オプションを含めます。

  • authMechanism: MONGODB-OIDCに設定します。

  • authMechanismProperties: ENVIRONMENT:gcp,TOKEN_RESOURCE:<audience>に設定します。 <audience>プレースホルダーを、MongoDB 配置に設定されたaudienceパラメータの値に置き換えます。

次のコード例は、 接続stringでこれらのオプションを設定する方法を示しています。

uri := "mongodb://<hostname>:<port>/?" +
     "&authMechanism=MONGODB-OIDC" +
     "&authMechanismProperties=ENVIRONMENT:gcp,TOKEN_RESOURCE:<percent-encoded audience>"
client, err := mongo.Connect(options.Client().ApplyURI(uri))
if err != nil {
  panic(err)
}

カスタム コールバック

Goドライバーでは、 Amazon Web Services Elastic Kubernetes Service(EKS)を含むすべてのプラットフォームの組み込みサポートを提供していません。 サポートされていないプラットフォームで認証するには、OIDC を使用して認証するためのカスタム コールバック関数を定義する必要があります。 ドライバーでは、 options.OIDCCallback関数を定義し、 Credential構造体のOIDCMachineCallback構造体フィールドの値として設定できます。

次の例では、構成された IAM OIDC プロバイダーを持つ EKS クラスターのカスタム コールバックを定義します。 アクセス トークンは、 AWS_WEB_IDENTITY_TOKEN_FILE環境変数に設定されたパスから読み取られます。

eksCallback := func(_ context.Context,
	_ *options.OIDCArgs) (*options.OIDCCredential, error) {
	accessToken, err := os.ReadFile(
		os.Getenv("AWS_WEB_IDENTITY_TOKEN_FILE"))
	if err != nil {
		return nil, err
	}
	return &options.OIDCCredential{
		AccessToken: string(accessToken),
	}, nil
}

次に、定義した EKS コールバック関数を使用するCredential構造体を作成できます。

uri := "mongodb://<hostname>:<port>"
opts := options.Client().ApplyURI(uri)
opts.SetAuth(
	options.Credential{
		AuthMechanism:       "MONGODB-OIDC",
		OIDCMachineCallback: eksCallback,
	},
)
client, err := mongo.Connect(opts)
if err != nil {
	panic(err)
}

その他の Azure 環境

アプリケーションが Azure Functions、App Service environment(ASE)、または Azure Kubernetes Service(AKS)で実行される場合は、 azdentity を使用できます 認証資格情報を取得するためのモジュールを使用します。

まず、次のコマンドを実行してazidentityモジュールをインストールします。

go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity

OIDCCallback関数は、 azidentityパッケージから生成されたAccessTokenを使用するOIDCCredentialインスタンスを返す必要があります。 アクセス トークンを検索するためのカスタム コールバックを実装し、 Credentialを作成する例については、前述のカスタム コールバックセクションを参照してください。

GCP GKE

アプリケーションが、 構成されたサービス アカウント を持つ GCP Google Kubernetes Engine(GKE)クラスターで実行されている場合 に設定されている場合、標準のサービス アカウント トークンファイルの場所から OIDC トークンを読み込むことができます。

まず、 OIDCCallback関数を定義します。 この関数は OIDC トークンを読み取り、 OIDCCredentialインスタンスを返します。

次の例では、 gkeCallbackという名前のコールバック関数を定義しています。 この関数は、標準のサービス アカウント トークン ファイルの場所内のファイルから OIDC トークンを検索します。

gkeCallback := func(_ context.Context,
	_ *options.OIDCArgs) (*options.OIDCCredential, error) {
	accessToken, err := os.ReadFile(
		"/var/run/secrets/kubernetes.io/serviceaccount/token")
	if err != nil {
		return nil, err
	}
	return &options.OIDCCredential{
		AccessToken: string(accessToken),
	}, nil
}

次に、定義した GKE コールバック関数を使用するCredential構造体を作成できます。

uri := "mongodb://<hostname>:<port>"
opts := options.Client().ApplyURI(uri)
opts.SetAuth(
	options.Credential{
		AuthMechanism:       "MONGODB-OIDC",
		OIDCMachineCallback: gkeCallback,
	},
)
client, err := mongo.Connect(opts)
if err != nil {
	panic(err)
}

詳細情報

このガイドの概念の詳細については、次のドキュメントを参照してください。

API ドキュメント

戻る

AWS IAM

次へ

LDAP (PLAIN)

項目一覧