Docs Menu
Docs Home
/
데이터베이스 매뉴얼
/
자체 관리 배포서버
/
보안
/
인증
/
OIDC/OAuth 2.0

OAuth 2.0을 사용하는 Workload Identity Federation

Workload Identity Federation은 OAuth 2.0 을 사용하여 애플리케이션이 Azure 서비스 주체, Azure 관리형 ID 및 Google 서비스 계정과 같은 외부 프로그래밍 ID를 사용하여 MongoDB 액세스 활성화 .

중요

OIDC(OpenID Connect)는 Linux 에서만 지원됩니다.

사용 사례

Workload Identity Federation을 사용하면 다음을 수행할 수 있습니다.

  • 기존 cloud 제공자 또는 ID 제공자 (IdP)를 통해 MongoDB 배포에 대한 애플리케이션의 액세스 관리합니다.

  • 역할 기반 액세스 제어, 자격 증명 로테이션, 워크로드별 권한과 같은 보안 정책을 시행합니다.

  • 개별 서비스 계정을 관리하지 않고도 특정 애플리케이션, 컨테이너 또는 가상 머신에 대한 액세스 부여합니다.

행동

  • Workload Identity Federation을 사용하려면 MongoDB 엔터프라이즈 사용해야 하며 MongoDB 7.0.11 이상이 있어야 합니다.

    MongoDB 엔터프라이즈 사용하고 있는지 확인하려면 --version 명령줄 옵션을 또는mongod mongos 에 전달합니다.

    mongod --version

    이 명령의 출력에서 modules: subscription 또는 modules: enterprise 문자열을 찾아 MongoDB Enterprise 바이너리를 사용하고 있는지 확인합니다.

  • Workload Identity Federation을 사용하면 애플리케이션이 OAuth 2.0 액세스 토큰을 사용하여 MongoDB 클러스터에 액세스 . 액세스 토큰은 Azure Entra ID 및 Google Cloud Platform 포함한 모든 외부 ID 제공자 가 발급할 수 있습니다.

  • MongoDB 사용자 식별자와 권한을 저장하지만 시크릿은 저장하지 않습니다.

시작하기

Workload Identity Federation을 구성하고 사용하려면 다음 작업을 수행하세요.

  1. 워크로드 인증을 위한 외부 ID 제공자 구성

    OAuth 2.0 애플리케이션 OAuth 2.0 표준을 지원하는 IdP(예: Azure 서비스 주체, Azure 관리 ID 및 Google 서비스 계정)에 등록합니다.

  2. 워크로드 아이덴티티 페더레이션으로 MongoDB 구성

    OAuth 2.0과 함께 Workload Identity Federation을 사용하도록 MongoDB 서버 구성합니다.

  3. Workload Identity Federation으로 사용자 권한 부여

    MongoDB MongoDB 역할을 추가(OAuth, 외부 권한 부여 또는 둘 다의 경우)하거나 데이터베이스 사용자를 추가(데이터베이스 관리 권한 부여 부여의 경우)하여 워크로드 ID 주체에 대한 권한을 지정합니다.

세부 정보

MongoDB 드라이버는 워크로드 아이덴티티 페더레이션에 대해 내장 인증과 콜백 인증, 두 가지 유형의 인증 흐름을 지원 합니다.

내장 인증

지원되는 주체 유형으로 지원되는 인프라에 애플리케이션 배포 경우 내장 인증 사용할 수 있습니다. 애플리케이션 은 비밀번호를 제공하거나 cloud 제공자의 메타데이터 서비스에 JSON Web Token(JSON web token )을 수동으로 요청하지 않고도 MongoDB 클러스터 액세스 할 수 있습니다. 대신 선택한 MongoDB 운전자 기존 주체 식별자를 사용하여 내부적으로 JSON web token 액세스 토큰을 요청 다음, 애플리케이션 연결될 때 자동으로 Atlas cluster 에 전달됩니다.

구현 대한 자세한 내용은 선택한 드라이버 설명서를 참조하세요.

기본 제공 인증 지원 인프라 및 주체 유형

클라우드 제공자
인프라 유형
주체 유형

Google Cloud Platform 제공자(GCP)

Compute Engine

GCP 서비스 계정

App Engine 표준 환경

App Engine 가변형 환경

Cloud 함수

Google Run

Google Kubernetes Engine

클라우드 빌드

Azure

Azure VM

Azure 관리 ID(사용자 및 시스템 할당)

콜백 인증

OAuth 2.0 액세스 토큰을 지원하는 모든 서비스에서 콜백 인증 사용할 수 있습니다. Workload Identity Federation은 콜백 메서드를 호출하여, 권한 부여 서버 또는 cloud 제공자 에게 애플리케이션 Workload Identity Federation을 사용하여 MongoDB 에 연결할 때 전달해야 하는 필수 JSON web token 요청 수 있습니다.

구현 대한 자세한 내용은 선택한 드라이버의 설명서를 검토하세요.

돌아가기

Workforce Identity Federation으로 사용자 권한 부여

다음

워크로드 인증을 위한 외부 ID 제공자 구성

이 페이지의 내용