/ /

OIDC 認証の Ops Manager ユーザーの設定

Overview

OpenID Connect （ OIDC ）を使用して、外部 IdP （ IdP ）で Ops Manager ユーザーの認証と認可を管理できます。認証されたセッションなしで Ops Manager にアクセスしようとすると、Ops Manager は IdP にリダイレクトしてログします。認証が完了すると、Ops Manager に戻ります。

このチュートリアルでは、次の方法について説明します。

Ops Manager の OIDC認証を構成します。
OIDC グループを Ops Manager 組織ロールとプロジェクトロールにマッピングします。
パブリックAPIを使用して組織とプロジェクトロールのマッピングを管理します。

Considerations

OIDC に HTTPS を使用

HTTPS は、一般的に Ops Manager に、特に OIDC に強く推奨します。 Ops Manager が HTTPS を使用しない場合、一部の IdP 統合が正しく動作しない可能性があります。

前提条件

OIDC 統合を構成するには、 IdP で次のアクションを実行する必要があります。

Ops Manager のクライアントアプリケーションを作成します。

許可されたリダイレクト URI のリストに MongoDB Ops Manager URL を追加します。

（条件付き）MongoDB Ops ManagerGlobal Owner にマッピングするユーザーを作成します。

この手順は、同じユーザーを使用する必要がある場合にのみ必要です。

`Global Owner`ロールのグループを作成し、ユーザーをそれに追加します。

必要に応じて、他のロールのグループを作成します。

手順

OIDC認証を構成するには次の手順に従います。

認証方法として OIDC を選択します。

Ops Manager の場合:

[Admin、General、Ops Manager Config、User Authentication をクリックします。
User Authentication MethodオプションをOIDCに設定します。

OIDC 接続設定を構成します。

必須フィールドに値を指定し、必要に応じて任意フィールドを設定します。

次の表は、Ops Manager UIフィールドを構成ファイルフィールドにマッピングします。

MongoDB Ops Manager UIフィールド	構成ファイルのフィールド	必須	説明
Issuer URI	`mms.oidc.issuer.uri`	はい	発行者 URI または OIDCメタデータ検出ドキュメントのURL。
Client ID	`mms.oidc.client.id`	はい	IdP によって MongoDB Ops Manager に割り当てられたクライアント識別子。
Client Secret	`mms.oidc.client.secret`	はい	IdP によって MongoDB Ops Manager に割り当てられたクライアントシークレット。
Custom CA Certificate (PEM)	`mms.oidc.customCaCertificate`	No	IdP に接続するときに信頼する PEM でエンコードされた CA 証明書。 IdP が自己署名またはプライベート CA 証明書を使用する場合は、これを使用します。複数の証明書を連結することができます。
Enable PKCE (Proof Key for Code Exchange)	`mms.oidc.pkce.enabled`	はい	認可コードフローの PKCE 有効化推奨され、デフォルトで有効になっている。 IdP がコンフィギュレーションクライアント用の PKCE`true` をサポートしていない場合にのみ、を無効にします。デフォルト値: 。
Requested Scopes	`mms.oidc.requestedScopes`	No	MongoDB Ops Manager が認可エンドポイントからリクエストするスコープリスト。
Service Provider Base URL	`mms.oidc.sp.baseUrl`	No	OIDC サービスプロバイダーのベースURL 。この値を設定しない場合、MongoDB Ops Manager は`mms.centralUrl` を使用します。 MongoDB Ops Manager にアクセスするために別の URL が必要な場合は、これを使用します。
Global Role Owner Groups	`mms.oidc.global.role.owner`	はい	グローバル所有者ロールが割り当てられている IdP グループのコンマ区切りリスト。グローバルオーナーには、すべての管理権限を含む、この配置に対する完全な権限が付与されます。
Global Automation Admin Groups	`mms.oidc.global.role.automationAdmin`	No	グローバルオートメーション管理者ロールが割り当てられている IdP グループのコンマ区切りリスト。
Global Backup Admin Groups	`mms.oidc.global.role.backupAdmin`	No	グローバルバックアップ管理者ロールが割り当てられている IdP グループのコンマ区切りリスト。
Global Monitoring Admin Groups	`mms.oidc.global.role.monitoringAdmin`	No	グローバルモニタリング管理者ロールが割り当てられている IdP グループのコンマ区切りリスト。
Global User Admin Groups	`mms.oidc.global.role.userAdmin`	No	グローバルユーザー管理者ロールが割り当てられている IdP グループのコンマ区切りリスト。
Global Read Only Groups	`mms.oidc.global.role.readOnly`	No	グローバル読み取り専用ロールが割り当てられている IdP グループのコンマ区切りリスト。
OIDC Claim for User First Name	`mms.oidc.user.claims.firstName`	No	ユーザー名を含むクレーム。デフォルト値: `given_name`。
OIDC Claim for User Last Name	`mms.oidc.user.claims.lastName`	No	ユーザーの姓を含むクレーム。デフォルト値: `family_name`。
OIDC Claim for User Email	`mms.oidc.user.claims.email`	No	ユーザーのメールアドレスを含むクレーム。デフォルト値: `email`。
OIDC Claim for Group Member	`mms.oidc.group.claims.member`	No	MongoDB Ops Manager でロールをプロジェクトおよび組織にマッピングするために使用されるグループのリストを含むクレーム。デフォルト値: `groups`。

OIDC グループを組織とプロジェクトロールにマッピングします。

Ops Manager UIで、OIDC グループを組織ロールおよびプロジェクトロールに関連付けます。

注意

SAML から OIDC に移行する場合、Ops Manager は既存のマッピングを保持します。

ロールマッピングの仕組み

OIDC ロールマッピングは、 SAML ロールマッピングと同じ方法で機能します。組織とプロジェクトの Ops Manager ロールに IdP グループをマッピングします。ユーザーがログインすると、MongoDB Ops Manager はユーザーのグループメンバーシップに基づいてロールを割り当てます。

組織ロールマッピング

組織ロールマッピングは、 IdP グループを組織ロールに関連付けます。

組織マッピングフィールドには、次のものが含まれます。

組織所有者ロールの OIDC グループ
組織プロジェクト作成者ロールの OIDC グループ
組織の読み取り専用ロールの OIDC グループ
組織ノードロールの OIDC グループ

プロジェクトロールマッピング

プロジェクトロールマッピングは、IdP グループをプロジェクトロールに関連付けます。

プロジェクトマッピングフィールドには、次のものが含まれます。

プロジェクトオーナーのロールの OIDC グループ
読み取りロールのみの OIDC グループ
オートメーション管理者ロールの OIDC グループ
バックアップ管理者ロールの OIDC グループ
モニタリング管理者ロールの OIDC グループ
ユーザー管理ロールの OIDC グループ
データアクセス管理者ロールの OIDC グループ
データアクセス読み取り書込みロールの OIDC グループ
データアクセス読み取り専用ロールの OIDC グループ

パブリックAPIを使用したロールマッピングの管理

次の公開 API のフィールドを使用して、プログラムで IdP ロールマッピングを管理できます。idpGroupMappings

組織を取得します。
- すべての組織を取得
- 1 つの組織を取得
プロジェクトを取得します。
組織を作成および更新します。
- 1 つの組織を作成
- 1 つの組織を更新
プロジェクトを作成および更新します。
- プロジェクトを 1 つ作成
- 1 つのプロジェクトを更新

フィールドは、Ops Manager のロールをidpGroupMappings IdP グループにマッピングする配列です。

{
  "idpGroupMappings": [
    {
      "idpGroups": [
        "name_of_your_idp_group",
        "another_name_of_idp_group"
      ],
      "roleName": "GROUP_USER_ADMIN"
    }
  ]
}

次の値は組織roleName で有効です。

ORG_OWNER
ORG_GROUP_CREATOR
ORG_BILLING_ADMIN
ORG_READ_ONLY
ORG_MEMBER

プロジェクトroleName では次の値が有効です。

GROUP_OWNER
GROUP_READ_ONLY
GROUP_AUTOMATION_ADMIN
GROUP_BACKUP_ADMIN
GROUP_MONITORING_ADMIN
GROUP_USER_ADMIN
GROUP_BILLING_ADMIN
GROUP_DATA_ACCESS_ADMIN
GROUP_DATA_ACCESS_READ_ONLY
GROUP_DATA_ACCESS_READ_WRITE
GROUP_CHARTS_ADMIN
GROUP_CLUSTER_MANAGER
GROUP_SEARCH_INDEX_EDITOR

バックチャンネルログアウト

Ops Manager は OIDC バックチャネルログアウトをサポートします。 IdP がログアウトトークンを送信すると、MongoDB Ops Manager はユーザーのセッションを無効にします。

エンドポイント

POST {OPSMANAGER-HOST}:{PORT}/oidc/backchannel-logout

リクエスト

署名された JWT を含む logout_token パラメータを使用して、フォームエンコードされたリクエストを送信します。

要件

有効な sub（サブジェクト）クレームを含めます。
対象を絞ったセッション無効化には、sid（セッションID）のクレームを含めることができます。

Ops Manager は、サービスプロバイダーが開始したログアウトをサポートしていません。ログするには、ユーザーは IdP からログする必要があります。

戻る

SAML の構成

認証による保護

Overview

Considerations

OIDC に HTTPS を使用

前提条件

Ops Manager のクライアントアプリケーションを作成します。

（条件付き）MongoDB Ops Manager.leafygreen-ui-8n27nz{font-style:normal;font-weight:700;}Global Owner にマッピングするユーザーを作成します。

必要に応じて、他のロールのグループを作成します。

手順

認証方法として OIDC を選択します。

OIDC 接続設定を構成します。

OIDC グループを組織とプロジェクトロールにマッピングします。

注意

ロール マッピングの仕組み

組織ロール マッピング

プロジェクト ロール マッピング

パブリックAPIを使用したロール マッピングの管理

バックチャンネル ログアウト

エンドポイント

リクエスト

要件

（条件付き）MongoDB Ops ManagerGlobal Owner にマッピングするユーザーを作成します。

ロールマッピングの仕組み

組織ロールマッピング

プロジェクトロールマッピング

パブリックAPIを使用したロールマッピングの管理

バックチャンネルログアウト