配置联合身份验证
MongoDB 联合身份验证在 MongoDB 系统(如MongoDB 支持、MongoDB University、MongoDB Atlas、MongoDB Cloud Manager、MongoDB Community 论坛 和 MongoDB 反馈)之间链接您的凭证。Atlas 使用联合身份管理模型实施身份验证。
使用 FIM 模型:
贵公司使用身份提供者 (IdP) 管理凭据。有了 IdP,贵公司使您能够通过网络上的其他服务进行身份验证。
您可以配置 MongoDB Atlas,使用从 IdP 传递的数据进行身份验证。
这超出了 SSO 的范围,因为是由 IdP 而不是 MongoDB 管理凭证。用户无需记住其他用户名和密码即可使用 Atlas。
重要
当您启用联合 IdP 时,Atlas 会禁用任何其他身份验证机制。
要将 IdP 链接到 Atlas,您需要为每个 IdP 提供适当的元数据。在将 IdP 链接到 Atlas 后,将域、组织和角色映射到 IdP:
- 域映射
- Atlas 将电子邮件地址使用个映射域的用户路由到关联的IdP 。
- 组织映射
- Atlas 允许通过 IdP 登录的用户访问映射的 Atlas 组织。
- 角色映射
- 作为组织映射的一部分,您可以选择要授予用户的角色。这些角色映射到 IdP 中的群组。
必需的访问权限
如需管理联合身份验证,必须拥有一个或多个组织的 Organization Owner
(组织所有者)访问权限,这些组织会将联合设置委托给实例。
联合管理控制台
您可以通过 Federation Management Console 管理联合身份验证。
要打开 Federation Management 控制台,请:
在 Atlas 中,转到Organization Settings 页面。
如果尚未显示,请从导航栏中的Organizations菜单。
单击 Organizations 菜单旁边的 Organization Settings 图标。
显示“组织设置”页面。
快速入门
如果您是第一次为组织中的用户配置单点登录, 则可以按照 MongoDB 联合管理快速入门指南进行操作。
使用《快速入门指南》配置单点登录:
注意
如果已完成联合管理快速入门,但想要再次执行这些步骤,请单击 Federation Management(联合管理)控制台 Overview(概述)页面底部的链接。
Tutorials
要从 Atlas 中的Federation Management控制台配置联合身份验证,您必须:
单击 Manage Identity Providers 并将身份提供商关联到 Atlas,确保您的用户通过您的可信 IdP 进行身份验证。
单击 Manage Domains 并将域映射到您的身份提供商,以简化来自指定域的用户的登录体验。如果用户的电子邮件地址与映射的域名相匹配,Atlas 会通过映射的 IdP 对用户进行身份验证。
联合身份验证后,您可以简化用户授权。在 Federation Management 控制台中,单击 Manage Organizations。您可以执行以下活动:
将 Atlas 组织映射到 IdP。
将 Atlas 角色映射到 IdP 中的群组。
联合身份验证实施到端教程:
限制访问 Atlas UI 的注意事项
如果您为某个组织启用 Atlas 用户界面的 IP 访问列表,并限制任何用户对至少一个联合组织的访问,则 Atlas 不允许此用户访问 Federation Management(联合管理)控制台。
考虑双因素身份验证
对于通过 IdP 使用联合身份验证机制进行身份验证的用户,Atlas 会绕过 2FA。如果用户通过 IdP 进行身份验证,并为其 Atlas 帐户启用了 2FA,则 Atlas 不会提示用户使用 2FA。作为替代方案,您可以配置受信任的 IdP,提示用户使用 2FA。要了解详情,请参阅管理多因素身份验证选项。