Docs Menu
Docs Home
/
관리
/
Ops Manager
Docs Home
/
관리
/
Ops Manager
Docs Home
/
관리
/
Ops Manager

OIDC 인증을 위한 MongoDB Agent 구성

개요

자동화, 모니터링 및 백업을 포함한 MongoDB Agent OIDC Workload Identity Federation을 사용하여 MongoDB deployment에 인증하도록 구성할 수 있습니다. OIDC를 사용하면 에이전트 이 긴 데이터베이스 자격 증명 대신 ID제공자(IdP)의 수명이 짧은 토큰을 사용합니다. 에이전트 이러한 토큰이 만료되기 전에 자동으로 새로 고침합니다.

이 튜토리얼에서는 다음 방법을 설명합니다.

  • Ops Manager 에서 MongoDB deployment 에 OIDC 인증 활성화합니다.

  • OIDC IdP 구성을 등록합니다.

  • OIDC 연결을 사용하도록 MongoDB Agent 구성합니다.

고려 사항

되돌릴 수 없는 인증 방법

Workload Federation을 위한 MongoDB Agent 구성한 후에는 로컬 인증으로 되돌릴 수 없습니다.

토큰 새로 고침

MongoDB Agent OIDC 토큰이 만료되기 전에 자동으로 새로 고침합니다. 토큰 수명은 IdP 구성에 따라 달라지며 5 일반적으로 60 분에서 분 범위 .

공유 에이전트 구성

OIDC 구성은 자동화, 모니터링, 백업 등 모든 에이전트 기능에 적용됩니다. 각 기능을 개별적으로 구성하지 않습니다.

전제 조건

OIDC 인증 위한 MongoDB Agent 구성하기 전에 MongoDB deployment 에 대해 OIDC Workload Identity Federation을 활성화 . 자세한 학습 은 OAuth로 Workload Identity Federation 설정 을 2.0 참조하세요.

절차

MongoDB Agent 에 대한 OIDC 인증 구성하려면 다음을 수행합니다.

1

보안 설정으로 이동합니다.

Ops Manager 에서 프로젝트 로 이동합니다. 왼쪽 탐색에서 Deployment, Security를 차례로 클릭한 다음 Settings 탭 선택합니다.

참고

프로젝트 에 대한 보안을 구성하지 않은 경우 네트워크 암호화, 인증 및 권한 부여 설정하다 하라는 배너가 표시됩니다. 설정에 액세스 하려면 Get Started 을 클릭합니다.

2

OIDC 인증 활성화합니다.

MongoDB Deployment Authentication Mechanism 섹션에서 Federated Auth (OIDC)를 선택합니다.

3

OIDC ID 제공자 구성을 추가합니다.

  1. OIDC Connection and Authorization 섹션에서 + OIDC IdP Configuration을 클릭합니다.

  2. OIDC Protocol Settings 창 에서 Workload Identity Federation을 선택합니다.

  3. IdP 세부 정보를 입력합니다.

    필드
    설명

    Configuration Name

    Ops Manager 에서 이 IdP 구성을 식별하는 접두사입니다.

    Issuer URI

    액세스 토큰을 발급하는 IdP의 URI입니다.

    Audience

    IdP가 발급하는 JWT의 클레임과 일치해야 aud 합니다.

    Authorization Method

    IdP 설정 에 따라 또는 를 선택합니다.User ID Group Membership

    Customize User Claim

    사용자를 식별하는 클레임입니다. 기본값은 sub입니다.

  4. Save Configuration를 클릭합니다.

4

배포서버 에 대한 에이전트 연결을 구성합니다.

  1. MongoDB Agent Connections to Deployment 섹션에서 Workload Federation를 선택합니다.

    중요

    Workload Federation을 사용하여 배포 후에는 MongoDB Agent 로컬 인증으로 되돌릴 수 없습니다.

  2. 에이전트 인증 세부 정보를 입력합니다.

    필드
    설명

    OIDC IdP Configuration

    MongoDB Agent 인증에 사용하는IdP 구성입니다. 이전 단계에서 생성한 구성을 선택합니다.

    User Identifier

    사용자 주체 클레임 값입니다. Ops Manager MongoDB 사용자를 [configuration name]/[user identifier](으)로 생성합니다.

    Authentication Method

    에이전트의 IdP 연결을 위한 인증 방법입니다.Client Credentials Okta와 같은 표준 IdP 통합의 경우 를 선택하고, Built-in Azure 또는 GCP 의 클라우드 네이티브 워크로드 ID의 경우 를 선택합니다.

    Client ID

    에이전트 에 할당된 OAuth 2.0 클라이언트 ID . Client Credentials를 사용할 때 필요합니다.

    Client Secret

    에이전트 에 할당된 OAuth 2.0 클라이언트 시크릿입니다. Client Credentials를 사용할 때 필요합니다.

    IdP가 Azure 또는 GCP 와 같은 클라우드 네이티브 워크로드 ID를 사용하는 Built-in 경우 를 선택합니다.Client ID 또는 Client Secret 를 제공할 필요가 없습니다.

  3. Save Settings를 클릭합니다.

5

변경 사항을 검토하고 배포 .

  1. Review Your Changes 모달에서 배포서버 차이점을 검토 . diff에 Auth Mechanisms: MONGODB-OIDC 이 표시되고 Auth 아래에 Workload Federation 세부 정보가 표시되는지 확인합니다.

  2. 배포서버 확인합니다.

Ops Manager 변경 사항을 적용한 후 MongoDB Agent 업데이트된 구성을 자동으로 수신하고 IdP에서 초기 OIDC 토큰을 가져옵니다. 에이전트 다시 시작하지 않고 OIDC 인증 으로 전환합니다.

다운타임 없이 에이전트 자격 증명

MongoDB Agent 다시 시작하지 않고 에이전트의 OIDC 클라이언트 암호를 교체하려면 다음을 수행합니다.

1

IdP에서 새 클라이언트 암호를 생성합니다.

IdP에서 이 배포서버 에 사용하는 OAuth/OIDC 애플리케이션 열고 새 클라이언트 암호를 생성합니다. 아직 기존시크릿을 취소하지 마세요.

2

Ops Manager 에서 시크릿을 업데이트합니다.

  1. Ops Manager 에서 프로젝트 로 이동합니다. Deployment, Security를 클릭한 다음 Settings 탭 선택합니다.

  2. MongoDB Agent Connections to Deployment에서 Workload Federation을 선택합니다.

  3. Client Secret에 새 시크릿을 입력한 다음 Save Settings을 클릭합니다.

  4. 배포서버 검토하고 확인합니다.

3

일반적으로 1시간 이내에 MongoDB Agent 토큰을 새로 고칠 때까지 기다립니다.

4

IdP에서 이전 시크릿을 해지합니다.

돌아가기

TLS 구성

다음

구성 파일 및 비밀번호 관리

이 페이지의 내용