Docs 菜单

Docs 主页启动和管理 MongoDBMongoDB Atlas

联合身份验证的高级选项

在此页面上

  • 必需的访问权限
  • 联合管理控制台
  • 为组织指定默认用户角色
  • 按域限制对组织的访问
  • 绕过 SAML 模式
  • 启用后登录 Bypass SAML Mode
  • 将用户成员资格限制为联合

您可以在联合身份验证实例中配置高级选项,以便更好地控制联合用户和身份验证流程。

必需的访问权限

如需管理联合身份验证,必须拥有一个或多个组织的 Organization Owner(组织所有者)访问权限,这些组织会将联合设置委托给实例。

联合管理控制台

您可以通过 Federation Management Console 管理联合身份验证。

要打开Federation Management Console

  1. 登录 Atlas。

  2. 使用 Atlas 左上角的下拉菜单, 选择要管理其联合设置的组织。

  3. 单击左侧导航窗格中的 Settings

  4. Manage Federation Settings 中,单击 Visit Federation Management App

为组织指定默认用户角色

您可以预配 Atlas,为每个通过 IdP进行身份验证的用户在映射的组织中自动提供默认的角色。您可以为不同的组织选择不同的角色。

注意

所选角色仅适用于通过 IdP 进行身份验证的用户,前提是他们在组织中还没有角色

1

单击左侧导航窗格中的Organizations

2

单击要为其分配默认权限的组织的Name

3

Default User Role下拉列表中,选择所需的角色。

要删除默认用户角色,请单击在下拉菜单旁边。

按域限制对组织的访问

您可以指定已批准的域列表,防止域外用户访问组织。使用此列表,可为组织定义已批准的域列表,而无需将这些域直接映射到 IdP

重要

考虑因素

启用Restrict Access by Domain选项后:

  • 您只能邀请电子邮件地址位于已批准的域列表中的新用户加入您的组织。

  • 组织中已存在的用户,如果用户名不包含已批准列表中的域,则不会限制对组织的访问。

  • 任何映射到 IdP 的域都会自动添加到已批准列表。

Federation Management Console中:

1

单击左侧导航窗格中的Organizations

2

单击要限制其访问权限的组织的Name

3

Advanced Settings中,将Restrict Access by Domain切换为On

启用此设置后,Atlas 会自动将所有映射到IdP的域添加到Approved Domains列表中。

4

将域添加到已批准列表。

要将域添加到已批准列表,您可以:

  1. 单击Add Domains from Existing Members 。 Atlas 打开一个模态框,其中包含组织现有用户电子邮件地址的域。使用此列表,可轻松启用已是组织成员的用户的访问权限。

    使用复选框选择所需的域,然后单击Add将其添加到已批准列表。

  2. 单击Add Domains 。 Atlas 打开一个模态框,您可以在其中手动将域添加到已批准列表。

    在输入框中输入要批准的域,然后单击Add 。对每个要批准的域重复此过程。

注意

如果您有受限的联邦用户成员资格,则在您添加的域用于访问联邦之外的组织时,Atlas 会发出警告。

添加所有所需的域后,单击Submit

绕过 SAML 模式

Bypass SAML Mode 提供一个登录URL ,该 URL 可绕过您的联合身份验证,而允许您使用 Atlas 档案进行身份验证。

如果您的联合身份验证设置未正确配置,您可能无法通过IdP登录 Atlas。 Bypass SAML Mode URL有助于防止您被锁定在 Atlas 组织之外。 在配置和测试IdP时,我们建议您记下Bypass SAML Mode URL,以确保您可以登录 Atlas 并正确配置联合身份验证设置。

每个Bypass SAML Mode URL 都与一个单独的IdP关联,并对应于 IdP 的Login URL

Bypass SAML Mode 默认启用,但作为安全措施,一旦您确信已正确配置联合身份验证,您可能需要将其禁用。

要设置Bypass SAML Mode ,请在Federation Management Console中:

1

单击左侧导航窗格中的Identity Providers

2

找到要查看/修改Bypass SAML Mode设置的IdP

3

根据需要切换Bypass SAML Mode

4

如果要禁用Bypass SAML Mode ,请单击确认对话框中的Disable

启用后登录 Bypass SAML Mode

启用Bypass SAML Mode后,您必须使用以下方式登录 Atlas:

  • IdP Bypass SAML Mode URL

  • 用户名:

    • 包含映射IdP 的域。

    • 在配置联合身份验证之前,您已登录 Atlas 或 Cloud Manager。

将用户成员资格限制为联合

您可以阻止联合身份验证实例中的用户创建新组织或使用其档案访问联合外部的组织。配置此设置以完全控制联合用户,并帮助确保联合用户只能访问所需的 Atlas 组织。

重要

此设置适用于整个联合,包括联合内的所有身份提供程序和组织。

考虑因素

启用此设置后:

  • 联合身份验证实例中的任何用户都无法访问联合之外的组织。

    • 同样,任何联邦用户都不能接受或接收加入联邦以外组织的邀请。

  • 联合中具有Organization Owner角色的用户仍可创建新组织。这些新组织会自动连接到您的联邦。

  • 联邦中没有Organization Owner角色的用户无法创建任何新组织。

  • 联合中的用户保留对其在成员资格限制之前有权访问的任何组织的访问权限。

步骤

Federation Management Console中:

1

单击左侧导航窗格中的Advanced Settings

2

Restrict Membership切换为On

3

查看用户冲突

如果您的联合中包含属于联合以外组织的用户,Atlas 会显示警告横幅。要查看冲突用户,请单击View User Conflicts

Atlas 会显示一个模态框,其中包含与联合限制冲突的用户列表。请考虑联系这些用户,让他们了解该限制。

← 从 PingOne 配置联合身份验证
管理多因素身份验证选项 →

在此页面上