/ /

`AtlasFederatedAuth` 사용자 지정 리소스

AtlasFederatedAuth 사용자 지정 리소스는 Atlas 조직에 대해 페더레이션 인증 을 구성합니다.

AtlasFederatedAuth 사용자 지정 리소스 를 만들면 Atlas Kubernetes Operator 가 연합 인증 API 리소스 를 사용하여 연합의 조직 구성을업데이트 합니다. 조직 구성에서는 조직 및 역할 매핑과 같은 Atlas 조직 에 대한 페더레이션 설정을 지정합니다.

중요

Custom Resource(사용자 정의 리소스)는 더 이상 기본적으로 객체를 삭제하지 않음

Atlas Kubernetes Operator 사용자 지정 리소스 구성 파일을 사용하여 Atlas 구성을 관리 하지만, Atlas Kubernetes Operator 부터는 Kubernetes 에서 삭제 사용자 지정 2.0 리소스가 더 이상 ( 기본값) Atlas 에서 삭제되지 않습니다. 대신 Atlas Kubernetes Operator Atlas 에서 해당 리소스 관리를 중지할 뿐입니다. 예시 들어, Kubernetes 에서 Custom Resource(사용자 AtlasProject 지정 리소스)를 삭제 하면 기본값 으로 Atlas Kubernetes Operator 더 이상 Atlas 에서 해당 프로젝트 자동으로 삭제하지 않습니다. 이러한 동작 변경은 우발적이거나 예기치 않은 삭제를 방지하기 위한 것입니다. 이 동작을 Atlas Kubernetes Operator 이전에 사용된 기본값 으로 되돌리는 2 방법0 등 자세한 학습 새 기본값: Atlas Kubernetes Operator 2 의 삭제0 보호 기능을 참조하세요.
마찬가지로, Atlas Kubernetes Operator 를 사용하여 Kubernetes 의 Atlas 프로젝트 에서 팀을 제거 하는 경우 Atlas Kubernetes Atlas Kubernetes Operator 는 Atlas 에서 팀을 삭제 하지 않습니다.

기본값 Atlas 구성 값을 암시적으로 사용하지 않으려면 원하는 구성 세부 정보를 명시적으로 정의하세요. 경우에 따라 Atlas 기본값을 상속하면 조정 루프가 발생하여 사용자 지정 리소스 READY 상태 달성하지 못할 수 있습니다. 예시 들어 AtlasDeployment 사용자 지정 리소스 에 원하는 자동 확장 동작을 명시적으로 정의하면 포함된 예시 와 같이 사용자 지정 리소스 의 정적 인스턴스 크기가 자동 확장이 활성화된 Atlas 배포서버 에 반복적으로 적용되지 않도록 할 수 있습니다.

autoScaling:
  diskGB:
    enabled: true
  compute:
    enabled: true
    scaleDownEnabled: true
    minInstanceSize: M30
    maxInstanceSize: M40

이 리소스를 사용하려면 Atlas 조직에 연결된 기존 ID 제공자(IdP)가 있어야 합니다. 자세한 내용 은 Kubernetes의 연합 인증 활용을 참조하세요.

예시

다음 예시에서는 다음을 수행하는 AtlasFederatedAuth 사용자 지정 리소스를 구성합니다.

지정된 시크릿에 연결된 조직에 대해 페더레이션 인증 활성화합니다.
my-org-domain.com 을(를) 승인된 도메인으로 추가합니다.
조직에 대한 도메인 제한을 활성화합니다.
SSO 에 대한 디버깅을 비활성화합니다.
인증 후 사용자에게 Organization Member 역할을 부여합니다.
조직의 Organization Owner 역할을 매핑하고 org-admin 이라는 IdP 그룹에 역할 매핑을 적용합니다.
이름이 dev-project 인 조직의 프로젝트에 대한 Organization Project Creator 및 Project Owner 역할을 매핑하고 dev-team 라는 IdP 그룹에 역할 매핑을 적용합니다.

apiVersion: atlas.mongodb.com/v1
kind: AtlasFederatedAuth
metadata:
  name: atlas-default-federated-auth
  namespace: mongodb-atlas-system
spec:
  enabled: true
  dataAccessIdentityProviders:
    - 32b6e34b3d91647abb20e7b8
    - 42d8v92k5a34184rnv93f0c1
  connectionSecretRef:
    name: my-org-secret
    namespace: mongodb-atlas-system
  domainAllowList:
    - my-org-domain.com
  domainRestrictionEnabled: true
  ssoDebugEnabled: false
  postAuthRoleGrants:
    - ORG_MEMBER
  roleMappings:
    - externalGroupName: org-admin
      roleAssignments:
        - role: ORG_OWNER
    - externalGroupName: dev-team
      roleAssignments:
        - role: ORG_GROUP_CREATOR
        - projectName: dev-project
          role: GROUP_OWNER
status:
  conditions:
    - type: Ready
      status: True
    - type: RolesReady
      status: True
    - type: UsersReady
      status: True

참고

앞의 예에는 업데이트 프로세스를 설명하는 status 섹션이 포함되어 있습니다. 자세한 내용은 프로세스 생성 및 업데이트를 참조하세요.

매개변수

AtlasFederatedAuth

AtlasFederatedAuth is the Schema for the Atlasfederatedauth API

`Name`	유형	설명	필수 사항
`apiVersion`	문자열	atlas.mongodb.com/v1	true
`kind`	문자열	`AtlasFederatedAuth`	true
`metadata`	객체	Refer to the Kubernetes `API` documentation for the fields of the `metadata` field.	true
`spec`	객체	`AtlasFederatedAuthSpec` defines the target state of `AtlasFederatedAuth`.	거짓
`status`	객체	`AtlasFederatedAuthStatus` defines the observed state of `AtlasFederatedAuth`.	거짓

AtlasFederatedAuth.spec

AtlasFederatedAuthSpec defines the target state of AtlasFederatedAuth.

`Name`	유형	설명	필수 사항
`connectionSecretRef`	객체	Connection secret with `API` credentials for configuring the federation. These credentials must have `OrganizationOwner` permissions.	거짓
`dataAccessIdentityProviders`	[]string	The collection of unique ids representing the identity providers that can be used for data access in this organization. Currently connected data access identity providers missing from this field will be disconnected.	거짓
`domainAllowList`	[]string	이메일 주소를 기반으로 조직에 가입할 수 있는 사용자를 제한하는 승인된 도메인입니다.	거짓
`domainRestrictionEnabled`	부울	Prevent users in the federation from accessing organizations outside the federation, and creating new organizations. This option applies to the entire federation. See more information at https://www.mongodb.com/ko-kr/docs/atlas/security/federation-advanced-options/#restrict-user-membership-to-the-federation Default: false	거짓
`enabled`	부울	기본값: false	거짓
`postAuthRoleGrants`	[]string	Atlas roles that are granted to a user in this organization after authenticating.	거짓
`roleMappings`	[]object	Map `IDP` groups to Atlas roles.	거짓
`ssoDebugEnabled`	부울	기본값: false	거짓

AtlasFederatedAuth.spec.connectionSecretRef

Connection secret with API credentials for configuring the federation. These credentials must have OrganizationOwner permissions.

`Name`	유형	설명	필수 사항
`name`	문자열	Name of the Kubernetes Resource	true
`namespace`	문자열	Namespace of the Kubernetes Resource	거짓

AtlasFederatedAuth.spec.roleMappings

RoleMapping maps an external group from an identity provider to roles within Atlas.

`Name`	유형	설명	필수 사항
`externalGroupName`	문자열	`ExternalGroupName` is the name of the `IDP` group to which this mapping applies.	거짓
`roleAssignments`	[]object	`RoleAssignments` define the roles within projects that should be given to members of the group.	거짓

AtlasFederatedAuth.spec.roleMappings.roleAssignments

`Name`	유형	설명	필수 사항
`projectName`	문자열	The Atlas project in the same org in which the role should be given.	거짓
`role`	열거형	The `role` in Atlas that should be given to group members. Enum: `ORG_MEMBER`, `ORG_READ_ONLY`, `ORG_BILLING_ADMIN`, `ORG_GROUP_CREATOR`, `ORG_OWNER`, `ORG_BILLING_READ_ONLY`, `GROUP_OWNER`, `GROUP_READ_ONLY`, `GROUP_DATA_ACCESS_ADMIN`, `GROUP_DATA_ACCESS_READ_ONLY`, `GROUP_DATA_ACCESS_READ_WRITE`, `GROUP_CLUSTER_MANAGER`, `GROUP_SEARCH_INDEX_EDITOR`, `GROUP_DATABASE_ACCESS_ADMIN`, `GROUP_BACKUP_MANAGER`, `GROUP_STREAM_PROCESSING_OWNER`, `ORG_STREAM_PROCESSING_ADMIN`, `GROUP_OBSERVABILITY_VIEWER`	거짓

AtlasFederatedAuth.status

AtlasFederatedAuthStatus defines the observed state of AtlasFederatedAuth.

`Name`	유형	설명	필수 사항
`conditions`	[]object	Conditions is the list of statuses showing the current state of the Atlas Custom Resource	true
`observedGeneration`	integer	`ObservedGeneration` indicates the generation of the resource specification of which the Atlas Operator is aware. The Atlas Operator updates this field to the value of 'metadata.generation' as soon as it starts reconciliation of the resource. Format: int64	거짓

AtlasFederatedAuth.status.conditions

Condition describes the state of an Atlas Custom Resource at a certain point.

`Name`	유형	설명	필수 사항
`status`	문자열	Status of the condition; one of True, False, Unknown.	true
`type`	문자열	Type of Atlas Custom Resource condition.	true
`lastTransitionTime`	문자열	Last time the condition transitioned from one status to another. Represented in `ISO` 8601 format. Format: date-time	거짓
`message`	문자열	A `message` providing details about the transition.	거짓
`reason`	문자열	The `reason` for the condition's last transition.	거짓

돌아가기

Atlas Data Federation

Flex to Dedicated Migration