OIDC 認証を使用したデータベースユーザーの管理

Considerations

• MongoDBUser リソース: この方法で管理される各 OIDC ユーザーには、対応する MongoDBUser カスタムリソースが必要です。Kubernetes Operator はこのリソースを使用して、 MongoDB内のユーザーを構成します。

• $external データベース: OIDC などの外部メカニズムを介して認証するすべてのユーザーは、$external 仮想データベースに作成する必要があります。MongoDBUserリソースで、spec.db を "$external" に設定する必要があります。

• ユーザー名の形式:<configurationName> <userClaimValue>仕様。 ユーザー名 は、OIDC プロバイダーの構成名とユーザーのJSON web トークンの一意のクレームを組み合わせて、- という形式に従う必要があります。このクレームは OIDC プロバイダー構成で userClaim によって指定され、デフォルトは sub です。

• 認証と認可: OIDC IdP（OIDC IdP）はユーザーの認証（ID の検証）を行います。MongoDBUserリソースは、 MongoDB内でユーザーの認可（実行権限の定義）を担当します。

前提条件

データベースユーザーを管理する前に、OpenID Connect を有効にして レプリカセットまたはシャーディングされたクラスターを配置する必要があります。有効になっている。オプションで、TLS を有効にできます。詳細については、データベース リソースの保護 を参照してください。

データベースユーザーの追加

apiVersion: mongodb.com/v1
kind: MongoDBUser
metadata:
  # A unique name for this Kubernetes resource.
  name: oidc-app-user-1
spec:
  # This username MUST match the 'userClaim' from the OIDC token.
  username: "idp0/a1b2c3d4e5f6g7h8"
  # OIDC users MUST be created in the $external database.
  db: "$external"
  # Point to the MongoDB deployment where this user should be created.
  mongodbResourceRef:
    name: my-oidc-replicaset
  # Grant MongoDB roles to the user.
  roles:
    - db: "app-data"
      name: "readWrite"

kubectl apply -f my-oidc-user.yaml

データベースユーザーの削除

データベースユーザーを削除するには、単純にそのユーザーに関連付けられている MongoDBUserリソースを削除します。Kubernetes Operator は、 MongoDBデータベースからユーザーを自動的に削除します。次のコマンドに MongoDBUserリソースの metadata.name を渡します。

kubectl delete mongodbuser oidc-app-user-1