Docs 菜单
Docs 主页
/
MongoDB Atlas
/ /

配置联合身份验证

在此页面上

  • 必需的访问权限
  • 联合管理控制台
  • 快速入门
  • Tutorials
  • 限制访问 Atlas UI 的注意事项
  • 考虑双因素身份验证

MongoDB 联合身份验证在 MongoDB 系统(如MongoDB 支持MongoDB University、MongoDB Atlas、MongoDB Cloud Manager、MongoDB Community 论坛MongoDB 反馈)之间链接您的凭证。Atlas 使用联合身份管理模型实施身份验证。

使用 FIM 模型:

  • 贵公司使用身份提供者 (IdP) 管理凭据。有了 IdP,贵公司使您能够通过网络上的其他服务进行身份验证。

  • 您可以配置 MongoDB Atlas,使用从 IdP 传递的数据进行身份验证。

这超出了 SSO 的范围,因为是由 IdP 而不是 MongoDB 管理凭证。用户无需记住其他用户名和密码即可使用 Atlas。

重要

当您启用联合 IdP 时,Atlas 会禁用任何其他身份验证机制。

SAML 事务图
点击放大

要将 IdP 链接到 Atlas,您需要为每个 IdP 提供适当的元数据。在将 IdP 链接到 Atlas 后,将域、组织和角色映射到 IdP

域映射
Atlas 将电子邮件地址使用个映射域的用户路由到关联的IdP
组织映射
Atlas 允许通过 IdP 登录的用户访问映射的 Atlas 组织
角色映射
作为组织映射的一部分,您可以选择要授予用户的角色。这些角色映射到 IdP 中的群组。

如需管理联合身份验证,必须拥有一个或多个组织的 Organization Owner(组织所有者)访问权限,这些组织会将联合设置委托给实例。

您可以通过 Federation Management Console 管理联合身份验证。

要打开 Federation Management 控制台,请:

1
  1. 如果尚未显示,请从导航栏中的Organizations菜单。

  2. 单击 Organizations 菜单旁边的 Organization Settings 图标。

    显示“组织设置”页面。

2

Setup Federated LoginManage Federation Settings 部分,单击 Visit Federation Management App

如果您是第一次为组织中的用户配置单点登录, 则可以按照 MongoDB 联合管理快速入门指南进行操作。

使用《快速入门指南》配置单点登录:

1

如果尚未显示,请使用左侧导航面板打开 Overview 页面。

2

快速入门指南将引导您完成以下操作:

  1. 添加并验证您的域。

  2. 使用 ATLAS 配置 IdP

  3. 将域连接 IdP

  4. 激活 IdP,以便用户访问 MongoDB。

依次完成四个步骤。

注意

如果已完成联合管理快速入门,但想要再次执行这些步骤,请单击 Federation Management(联合管理)控制台 Overview(概述)页面底部的链接。

要从 Atlas 中的Federation Management控制台配置联合身份验证,您必须:

  1. 单击 Manage Identity Providers 并将身份提供商关联到 Atlas,确保您的用户通过您的可信 IdP 进行身份验证。

  2. 单击 Manage Domains 并将域映射到您的身份提供商,以简化来自指定域的用户的登录体验。如果用户的电子邮件地址与映射的域名相匹配,Atlas 会通过映射的 IdP 对用户进行身份验证。

联合身份验证后,您可以简化用户授权。在 Federation Management 控制台中,单击 Manage Organizations。您可以执行以下活动:

  1. Atlas 组织映射IdP

  2. Atlas 角色映射IdP 中的群组。

联合身份验证实施到端教程:

如果您为某个组织启用 Atlas 用户界面的 IP 访问列表,并限制任何用户对至少一个联合组织的访问,则 Atlas 不允许此用户访问 Federation Management(联合管理)控制台。

对于通过 IdP 使用联合身份验证机制进行身份验证的用户,Atlas 会绕过 2FA。如果用户通过 IdP 进行身份验证,并为其 Atlas 帐户启用了 2FA,则 Atlas 不会提示用户使用 2FA。作为替代方案,您可以配置受信任的 IdP,提示用户使用 2FA。要了解详情,请参阅管理多因素身份验证选项。

后退

身份验证