/ /

Acesso ao Atlas

Página inicial do Docs

/ /

Atlas Kubernetes Operator

Acesso ao Atlas

Página inicial do Docs

Gestão

Atlas Kubernetes Operator

Acesso ao Atlas

Aproveite a autenticação federada do Kubernetes

O Atlas Kubernetes Operator suporta o uso deautenticação federada do para sua organização Atlas.

Observação

Você não pode utilizar o Atlas Kubernetes Operator para configurar umIdP do . Para configurar um IdP, consulte Configurar autenticação e autorização do sistema de banco de dados.

Após configurar seu IdP, você pode gerenciar os mapeamentos de função que autenticam usuários para utilizar seu IdP.

Para configurar a autenticação federada por meio do Atlas Kubernetes Operator, você deve especificar e atualizar o AtlasFederatedAuth Recurso personalizado.

Quando você cria o recurso personalizado do AtlasFederatedAuth , o Atlas Kubernetes Operator utiliza o Recurso da API de Autenticação Federada para atualizar a configuração da organização para a federação. Na configuração da organização, você especifica as configurações de federação para sua organização Atlas, como mapeamentos de organização e função.

O AtlasFederatedAuth Recurso Personalizado não é necessário para mapear usuários do banco de dados para um IdP, qualquer IdP de autenticação existente ou volume de trabalho e IdP de força de trabalho . Você pode usar o recurso personalizado AtlasDatabaseUser para gerenciar usuários do banco de dados , no qual você especifica o método de autenticação usado para um determinado usuário de banco de dados. O recurso personalizado AtlasDatabaseUser deve ser configurado em conjunto com a autenticação federada para associar usuários e funções no IdP a usuários e grupos no MongoDB.

O Recurso AtlasFederatedAuth Personalizado é opcional para utilizar qualquer autenticação federada, desde que você a tenha configurado em outro lugar no Atlas.

Pré-requisitos

Antes de usar o Atlas Kubernetes Operator para configurar a autenticação federada, você deve ter:

Um provedor de identidade existente (IdP) vinculado ao Atlas. Para saber como vincular um IdP ao Atlas, consulte Gerenciar fornecedores de identidade.
Um secreto com chaves API que o Atlas Kubernetes Operator pode utilizar para conectar ao Atlas. As chaves API devem ter o role Organization Owner.
Pelo menos um papel dentro de uma organização ativa do Atlas ou dos projetos na organização.

Atualizar uma configuração da organização

Para configurar a autenticação federada por meio do Atlas Kubernetes Operator, atualize a configuração da organização de sua federação especificando o AtlasFederatedAuth Recurso personalizado.

O exemplo abaixo configura um recurso personalizado do AtlasFederatedAuth que faz o seguinte:

Habilita a autenticação federada para a organização vinculada ao segredo especificado.
Adiciona my-org-domain.com como um domínio aprovado.
Habilita a restrição de domínio para a organização.
Desabilita a depuração para SSO.
Concede a função Organization Member aos usuários após a autenticação.
Mapeia a função Organization Owner para a organização e aplica o mapeamento de função a um grupo de IdP chamado org-admin.
Mapeia as funções Organization Project Creator e Project Owner para um projeto na organização denominado dev-project e aplica o mapeamento de role a um grupo de IdP denominado dev-team.

Para saber mais, consulte Parâmetros.

Observação

O spec.roleMappings.roleAssignments O parâmetro deve incluir pelo menos uma função da organização dentro da organização atual ou os projetos na organização.

Exemplo:

cat <<EOF | kubectl apply -f -
apiVersion: atlas.mongodb.com/v1
kind: AtlasFederatedAuth
metadata:
  name: atlas-default-federated-auth
  namespace: mongodb-atlas-system
spec:
  enabled: true
  dataAccessIdentityProviders:
    - 32b6e34b3d91647abb20e7b8
    - 42d8v92k5a34184rnv93f0c1
  connectionSecretRef:
    name: my-org-secret
    namespace: mongodb-atlas-system
  domainAllowList:
    - my-org-domain.com
  domainRestrictionEnabled: true
  ssoDebugEnabled: false
  postAuthRoleGrants:
    - ORG_MEMBER
  roleMappings:
    - externalGroupName: org-admin
      roleAssignments:
        - role: ORG_OWNER
    - externalGroupName: dev-team
      roleAssignments:
        - role: ORG_GROUP_CREATOR
        - projectName: dev-project
          role: GROUP_OWNER
EOF

Para verificar o status do processo de atualização, execute o seguinte comando:

kubectl get atlasfederatedauth -o yaml

O Atlas Kubernetes Operator retorna o recurso personalizado e inclui uma seção de status semelhante ao exemplo a seguir:

status:
  conditions:
    - type: Ready
      status: True
    - type: RolesReady
      status: True
    - type: UsersReady
      status: True

Para saber mais sobre os parâmetros disponíveis para este recurso, consulte AtlasFederatedAuth Recurso Personalizado.

Voltar

Criptografar dados

Equipes