AI エージェント向け: ドキュメントインデックスは https://www.mongodb.com/ja-jp/docs/llms.txt で利用できます。すべてのページの markdown バージョンは、いずれかの URL パスに .md を追加することで利用できます。
Docs Menu
Docs Home
/
管理
/
Ops Manager
Docs Home
/
管理
/
Ops Manager
Docs Home
/
管理
/
Ops Manager

OIDC 認証用のMongoDB Agent の構成

Overview

OIDC Workload Identity Federation を使用して、オートメーション、モニタリング、バックアップを含むMongoDB Agent をMongoDB配置で認証するように構成できます。 OIDC を使用すると、エージェントは有効期間が長いデータベース認証情報の代わりに、ID プロバイダー( IdP )からの有効期間が短いトークンを使用します。エージェントは、有効期限が切れる前にこれらのトークンを自動的に更新します。

このチュートリアルでは、次の方法について説明します。

  • MongoDB Ops Manager でMongoDBデプロイの OIDC認証を有効にします。

  • OIDC IdP 構成を登録します。

  • OIDC 接続を使用するようにMongoDB Agent を構成します。

Considerations

元に戻すことができない認証方法

Workload Federation 用のMongoDB Agent を構成した後は、ローカル認証に戻すことはできません。

トークンリフレッシュ

MongoDB Agent は、有効期限が切れる前に OIDC トークンを自動的に更新します。トークンの有効期間はIdP 構成によって異なり、通常 5 から 60 分の範囲です。

共有エージェントの構成

OIDC 構成は、オートメーション、モニタリング、バックアップなどのすべてのエージェント機能に適用されます。各機能を個別に設定することはありません。

前提条件

MongoDB Agent を OIDC認証用に構成する 前に、 MongoDBデプロイの OIDC Workload Identity Federation2.0 を有効にします。詳しくは、「 OAuth を使用して Workload Identity Federation を設定する 」を参照してください。

手順

MongoDBエージェントの OIDC認証を構成するには次のようにします。

1

セキュリティ 設定に移動します。

Ops Manager で、プロジェクトに移動します。左側のナビゲーションで [Deployment]、[Security] の順にクリックし、[Settings]タブを選択します。

注意

プロジェクトにセキュリティを設定していない場合、バナーは ネットワーク暗号化、認証、認可 を設定するように要求します。設定にアクセスするには、Get Started をクリックします。

2

OIDC認証 を有効にします。

MongoDB Deployment Authentication Mechanismセクションで、[Federated Auth (OIDC)] を選択します。

3

OIDC ID プロバイダー構成を追加します。

  1. OIDC Connection and Authorizationセクションで、 + OIDC IdP Configurationをクリックします。

  2. OIDC Protocol Settingsウィンドウで、Workload Identity Federation を選択します。

  3. IdP の詳細を入力します。

    フィールド
    説明
    Configuration Name

    Ops Manager 内のこの IdP 構成を識別するプレフィックス。

    Issuer URI

    アクセス トークンを発行する IdP の URI 。

    Audience

    audIdP が発行する JWT 内の クレームに一致する必要があります。

    Authorization Method

    IdP 設定に基づいて、User ID または Group Membership を選択します。IdP

    Customize User Claim

    ユーザーを識別するクレーム。デフォルトは sub です。

  4. [Save Configuration] をクリックします。

4

配置へのエージェント接続を構成します。

  1. MongoDB Agent Connections to Deploymentセクションで、[Workload Federation] を選択します。

    重要

    Workload Federation を使用して配置した後は、 MongoDB Agent をローカル認証に戻すことはできません。

  2. エージェント認証の詳細を入力します。

    フィールド
    説明
    OIDC IdP Configuration

    MongoDB Agent が認証に使用する IdP 構成。前の手順で作成した構成を選択します。

    User Identifier

    ユーザー プリンシパル クレームの値。MongoDB Ops Manager はMongoDBユーザーを [configuration name]/[user identifier] として作成します。

    Authentication Method

    エージェントの IdP 接続の認証方法。Okta などの標準IdP 統合には Client Credentials を選択し、 AzureまたはGCPのクラウドネイティブワークロードID には Built-in を選択します。

    Client ID

    エージェントに割り当てられた OAuth 2.0クライアントID 。Client Credentials を使用する場合は必須です。

    Client Secret

    エージェントに割り当てられた OAuth 2.0クライアントシークレット。Client Credentials を使用する場合は必須です。

    Tip

    IdP が Azure やGCPなどのクラウドネイティブワークロードID を使用する場合は、 Built-in を選択します。Client ID または Client Secret を指定する必要はありません。

  3. [Save Settings] をクリックします。

5

変更を確認して配置します。

  1. Review Your Changes モーダルで、配置の差を確認します。差分に Auth Mechanisms: MONGODB-OIDC が表示され、Auth の下にワークロード Federation の詳細が表示されていることを確認します。

  2. 配置を確認します。

Ops Manager が変更を適用すると、 MongoDB Agent は自動的に更新された構成を受信し、 IdP から最初の OIDC トークンを取得します。エージェントは、再起動せずに OIDC 認証に移行します。

ダウンタイムなしでエージェント認証情報をローテーション

MongoDB Agent を再起動せずにエージェントの OIDC クライアントシークレットをローテーションする方法は、次のとおりです。

1

IdP で新しいクライアントシークレットを生成します。

IdP で、この配置に使用する OAuth/OIDCアプリケーションを開き、新しいクライアントシークレットを生成します。既存のシークレットはまだ取り消しないでください。

2

Ops Manager でシークレットを更新します。

  1. Ops Manager で、プロジェクトに移動します。[DeploymentSecurity をクリックし、Settingsタブを選択します。

  2. MongoDB Agent Connections to DeploymentWorkload Federation を選択します。

  3. Client Secret に新しいシークレットを入力し、Save Settings をクリックします。

  4. 配置を確認して確認します。

3

MongoDB Agent がトークンを更新するまで待ちます(通常は 1 時間以内)。

4

IdP で古いシークレットを取り消します。

戻る

TLS の構成

次へ

設定ファイルとパスワードの管理

項目一覧