OIDC 認証用のMongoDB Agent の構成

Overview

OIDC Workload Identity Federation を使用して、オートメーション、モニタリング、バックアップを含むMongoDB Agent をMongoDB配置で認証するように構成できます。 OIDC を使用すると、エージェントは有効期間が長いデータベース認証情報の代わりに、ID プロバイダー（ IdP ）からの有効期間が短いトークンを使用します。エージェントは、有効期限が切れる前にこれらのトークンを自動的に更新します。

このチュートリアルでは、次の方法について説明します。

MongoDB Ops Manager でMongoDBデプロイの OIDC認証を有効にします。
OIDC IdP 構成を登録します。
OIDC 接続を使用するようにMongoDB Agent を構成します。

Considerations

元に戻すことができない認証方法

Workload Federation 用のMongoDB Agent を構成した後は、ローカル認証に戻すことはできません。

トークンリフレッシュ

MongoDB Agent は、有効期限が切れる前に OIDC トークンを自動的に更新します。トークンの有効期間は IdP 構成によって異なり、通常5 から60 分の範囲です。

共有エージェントの構成

OIDC 構成は、オートメーション、モニタリング、バックアップなどのすべてのエージェント機能に適用されます。各機能を個別に設定することはありません。

前提条件

MongoDB Agent を OIDC認証用に構成する前に、 MongoDBデプロイの OIDC Workload Identity Federation を有効にします。詳しくは、 OAuth を使用して Workload Identity Federation を設定する2.0 を参照してください。

手順

MongoDBエージェントの OIDC認証を構成するには次のようにします。

セキュリティ設定に移動します。

Ops Manager で、プロジェクトに移動します。左側のナビゲーションでDeployment Security[0]、[]Settings の順にクリックし、[]タブを選択します。

注意

プロジェクトにセキュリティを設定していない場合、バナーはネットワーク暗号化、認証、認可を設定するように要求します。設定にアクセスするには、Get Started をクリックします。

OIDC認証を有効にします。

MongoDB Deployment Authentication Mechanismセクションで、[Federated Auth (OIDC)] を選択します。

OIDC ID プロバイダー構成を追加します。

OIDC Connection and Authorizationセクションで、 + OIDC IdP Configurationをクリックします。
OIDC Protocol Settingsウィンドウで、Workload Identity Federation を選択します。

IdP の詳細を入力します。

フィールド	説明
Configuration Name	Ops Manager 内のこの IdP 構成を識別するプレフィックス。
Issuer URI	アクセストークンを発行する IdP の URI 。
Audience	`aud`IdP が発行する JWT 内のクレームに一致する必要があります。
Authorization Method	IdP 設定に基づいて、またはを選択します。User IDGroup Membership
Customize User Claim	ユーザーを識別するクレーム。デフォルトは `sub` です。

[Save Configuration] をクリックします。

配置へのエージェント接続を構成します。

MongoDB Agent Connections to Deploymentセクションで、[Workload Federation] を選択します。
重要
Workload Federation を使用して配置した後は、 MongoDB Agent をローカル認証に戻すことはできません。

エージェント認証の詳細を入力します。

フィールド	説明
OIDC IdP Configuration	MongoDB Agent が認証に使用する IdP 構成。前の手順で作成した構成を選択します。
User Identifier	ユーザープリンシパルクレームの値。 MongoDB Ops Manager はMongoDBユーザーを `[configuration name]/[user identifier]` として作成します。
Authentication Method	エージェントの IdP 接続の認証方法。 OktaClient Credentials などの標準 IdP 統合にはを選択し、Built-in AzureまたはGCPのクラウドネイティブワークロードID にはを選択します。
Client ID	エージェントに割り当てられた OAuth 2.0クライアントID 。 Client Credentials を使用する場合は必須です。
Client Secret	エージェントに割り当てられた OAuth 2.0クライアントシークレット。 Client Credentials を使用する場合は必須です。

Tip

IdP がAzureやGCPなどのクラウドネイティブワークロードIDBuilt-in を使用する場合は、を選択します。Client ID またはClient Secret を指定する必要はありません。

[Save Settings] をクリックします。

変更を確認して配置します。

Review Your Changes モーダルで、配置の差を確認します。差分に Auth Mechanisms: MONGODB-OIDC が表示され、Auth の下に Workload Federation の詳細が表示されていることを確認します。
配置を確認します。

Ops Manager が変更を適用すると、 MongoDB Agent は自動的に更新された構成を受信し、 IdP から最初の OIDC トークンを取得します。エージェントは、再起動せずに OIDC認証に移行します。

ダウンタイムなしでエージェント認証情報をローテーション

MongoDB Agent を再起動せずにエージェントの OIDCクライアントシークレットをローテーションする方法は、次のとおりです。

IdP で新しいクライアントシークレットを生成します。

IdP で、この配置に使用する OAuth/OIDCアプリケーションを開き、新しいクライアントシークレットを生成します。既存のシークレットはまだ取り消しないでください。

Ops Manager でシークレットを更新します。

Ops Manager で、プロジェクトに移動します。 [Deployment、Security をクリックし、Settingsタブを選択します。
MongoDB Agent Connections to Deployment で Workload Federation を選択します。
Client Secret に新しいシークレットを入力し、Save Settings をクリックします。
配置を確認して確認します。

MongoDB Agent がトークンを更新するまで待ちます（通常は 1 時間以内）。

IdP で古いシークレットを取り消します。

戻る

TLS の構成

設定ファイルとパスワードの管理