OIDC 인증을 위한 MongoDB Agent 구성

개요

자동화, 모니터링 및 백업을 포함한 MongoDB Agent가 OIDC 워크로드 Identity Federation을 사용하여 MongoDB 배포에 인증하도록 구성할 수 있습니다. OIDC를 사용하면 에이전트는 긴 데이터베이스 자격 증명 대신 자격 증명 공급자(자격 증명 공급자)의 수명이 짧은 토큰을 사용합니다. 에이전트 이러한 토큰이 만료되기 전에 자동으로 새로 고침합니다.

이 튜토리얼에서는 다음 방법을 설명합니다.

Ops Manager 에서 MongoDB 배포서버 에 OIDC 인증 활성화합니다.
Register an OIDC 자격 증명 공급자 configuration.
OIDC 연결을 사용하도록 MongoDB Agent 구성합니다.

고려 사항

되돌릴 수 없는 인증 방법

워크로드 Federation을 위한 MongoDB Agent 구성한 후에는 로컬 인증으로 되돌릴 수 없습니다.

토큰 새로 고침

MongoDB Agent OIDC 토큰이 만료되기 전에 자동으로 새로 고침합니다. 토큰 수명은 자격 증명 공급자 구성에 따라 달라지며 일반적으로 5 분에서 60 분 범위 .

공유 에이전트 구성

OIDC 구성은 자동화, 모니터링, 백업 등 모든 에이전트 기능에 적용됩니다. 각 기능을 개별적으로 구성하지 않습니다.

전제 조건

OIDC 인증 위한 MongoDB Agent 구성하기 전에 MongoDB 배포서버 에 대해 OIDC Workload Identity Federation을 활성화 . 자세한 학습 은 OAuth로 Workload Identity Federation 설정 2.0을 참조하세요.

절차

MongoDB Agent에 대한 OIDC 인증 구성하려면 다음을 수행합니다.

보안 설정으로 이동합니다.

Ops Manager 에서 프로젝트 로 이동합니다. 왼쪽 탐색에서 Deployment, Security를 차례로 클릭한 다음 Settings 탭 선택합니다.

참고

프로젝트 에 대한 보안을 구성하지 않은 경우 네트워크 암호화, 인증 및 권한 부여 설정하다 하라는 배너가 표시됩니다. 설정에 액세스 하려면 Get Started 을 클릭합니다.

Enable OIDC 인증.

MongoDB Deployment Authentication Mechanism 섹션에서 Federated Auth (OIDC)를 선택합니다.

OIDC 자격 증명 공급자 구성을 추가합니다.

OIDC Connection and Authorization 섹션에서 + OIDC IdP Configuration을 클릭합니다.
OIDC Protocol Settings 창 에서 Workload Identity Federation을 선택합니다.

자격 증명 공급자 세부 정보를 입력합니다.

필드	설명
Configuration Name	Ops Manager 에서 이 자격 증명 공급자 구성을 식별하는 접두사입니다.
Issuer URI	액세스 토큰을 발급하는 자격 증명 공급자 의 URI입니다.
Audience	자격 증명 공급자 가 발급하는 JWT의 `aud` 클레임과 일치해야 합니다.
Authorization Method	IdP 설정 에 따라 User ID 또는 Group Membership를 선택합니다.
Customize User Claim	사용자를 식별하는 클레임입니다. 기본값은 `sub`입니다.

Save Configuration를 클릭합니다.

배포서버 에 대한 에이전트 연결을 구성합니다.

MongoDB Agent Connections to Deployment 섹션에서 Workload Federation를 선택합니다.
중요
Workload Federation을 사용하여 배포 후에는 MongoDB Agent 로컬 인증으로 되돌릴 수 없습니다.

에이전트 인증 세부 정보를 입력합니다.

필드	설명
OIDC IdP Configuration	MongoDB Agent 인증에 사용하는 IdP 구성입니다. 이전 단계에서 생성한 구성을 선택합니다.
User Identifier	사용자 주체 클레임 값입니다. Ops Manager MongoDB 사용자를 `[configuration name]/[user identifier]`(으)로 생성합니다.
Authentication Method	에이전트의 자격 증명 공급자 연결을 위한 인증 방법입니다. Okta와 같은 표준 자격 증명 공급자 통합의 경우 Client Credentials 를 선택하고, Azure 또는 GCP 의 클라우드 네이티브 워크로드 ID의 경우 Built-in 를 선택합니다.
Client ID	에이전트 에 할당된 OAuth 2.0 클라이언트 ID . Client Credentials를 사용할 때 필요합니다.
Client Secret	에이전트 에 할당된 OAuth 2.0 클라이언트 시크릿입니다. Client Credentials를 사용할 때 필요합니다.

팁

자격 증명 공급자 가 Azure 또는 GCP 와 같은 클라우드 네이티브 워크로드 ID를 사용하는 경우 Built-in를 선택합니다. Client ID 또는 Client Secret를 제공할 필요가 없습니다.

Save Settings를 클릭합니다.

변경 사항을 검토하고 배포 .

Review Your Changes 모달에서 배포서버 차이점을 검토 . diff에 Auth Mechanisms: MONGODB-OIDC 이 표시되고 Auth 아래에 워크로드 Federation 세부 정보가 표시되는지 확인합니다.
배포서버 확인합니다.

Ops Manager 변경 사항을 적용한 후 MongoDB Agent는 업데이트된 구성을 자동으로 수신하고 자격 증명 공급자 에서 초기 OIDC 토큰을 가져옵니다. 에이전트가 다시 시작하지 않고 OIDC 인증으로 전환합니다.

다운타임 없이 에이전트 자격 증명

MongoDB Agent 다시 시작하지 않고 에이전트의 OIDC 클라이언트 암호를 교체하려면 다음을 수행합니다.

자격 증명 공급자에서 새 클라이언트 암호를 생성합니다.

자격 증명 공급자에서 이 배포서버에 사용하는 OAuth/OIDC 애플리케이션을 열고 새 클라이언트 암호를 생성합니다. 아직 기존 시크릿을 취소하지 마세요.

Ops Manager 에서 시크릿을 업데이트합니다.

Ops Manager 에서 프로젝트 로 이동합니다. Deployment, Security를 클릭한 다음 Settings 탭 선택합니다.
MongoDB Agent Connections to Deployment에서 Workload Federation을 선택합니다.
Client Secret에 새 시크릿을 입력한 다음 Save Settings을 클릭합니다.
배포서버 검토하고 확인합니다.

일반적으로 1시간 이내에 MongoDB Agent 토큰을 새로 고칠 때까지 기다립니다.

IdP에서 이전 시크릿을 해지합니다.

돌아가기

TLS 구성

구성 파일 및 비밀번호 관리

개요