Make the MongoDB docs better! We value your opinion. Share your feedback for a chance to win $100.
MongoDB Branding Shape
Click here >
Docs 菜单
Docs 主页
/ /
联合
Docs 主页
/
管理
/
组织安全
/
联合
Docs 主页
/
管理
/
组织安全
/
联合

联合身份验证的高级选项

您可以在联合身份验证实例中配置高级选项, 以便更好地控制联邦用户和身份验证流程。

必需的访问权限

如需管理联合身份验证,必须拥有 Organization Owner 访问权限,能够访问一个或多个将联合设置委托给实例的组织。

联合管理控制台

您可以通过 Federation Management Console 管理联合身份验证。

要打开Federation Management Console

1

在Atlas中,转到您组织的 Federation Management 控制台。

  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 在侧边栏中,单击 Identity & Access 标题下的 Federation

  3. 单击 Open Federation Management App(连接)。

显示“联合”页面。

为组织指定默认用户角色

您可以将 Atlas 配置为自动为每个通过IdP进行身份验证的用户提供映射组织中的默认角色。 您可以为不同的组织选择不同的角色。

注意

所选角色仅适用于通过 IdP 进行身份验证的用户,前提是他们在组织中还没有角色

1

GoLinked Organizations 页面。

  1. 在Atlas中,转到您组织的 Federation Management 控制台。

    1. 如果尚未显示,组织从导航栏中的Organizations菜单。

    2. 在侧边栏中,单击 Identity & Access 标题下的 Federation

    3. 单击 Open Federation Management App(连接)。

      显示“联合”页面。

  2. 在侧边栏中,单击 Organizations

2

Name单击要为其分配默认权限的组织的 。

3

Default User Role 下拉列表中,选择所需的角色。

要删除默认用户角色,请单击在下拉菜单旁边。

按域限制对组织的访问

您可以指定已批准的域列表,防止域外用户访问组织。使用此列表,可为组织定义已批准的域列表,而无需将这些域直接映射到 IdP

重要

Considerations

启用Restrict Access by Domain选项后:

  • 您只能邀请电子邮件地址在已批准的域列表中的新用户加入组织。

  • 组织中已存在的用户,如果用户名不包含已批准列表中的域,则不会限制对组织的访问。

  • 任何映射到 IdP 的域都会自动添加到已批准列表。

Federation Management Console中:

1

GoLinked Organizations 页面。

  1. 在Atlas中,转到您组织的 Federation Management 控制台。

    1. 如果尚未显示,组织从导航栏中的Organizations菜单。

    2. 在侧边栏中,单击 Identity & Access 标题下的 Federation

    3. 单击 Open Federation Management App(连接)。

      显示“联合”页面。

  2. 在侧边栏中,单击 Organizations

2

单击要限制访问权限的组织旁边的省略号 () 图标,然后单击...Restrict Access by Domain

3

将 切换为Restrict Access by Domain On

启用此设置后, Atlas会自动将所有映射到IdP的域添加到Approved Domains列表中。

4

将域添加到已批准列表。

要将域添加到已批准列表,您可以:

  1. 单击 Add Domains from Existing Members。Atlas 打开一个模态框,其中包含组织现有用户电子邮件地址的域。使用此列表,可轻松启用已是组织成员的用户的访问权限。

    使用复选框选择所需的域,然后单击Add将其添加到已批准列表。

  2. 单击 Add Domains。Atlas 打开一个模态框,您可以在其中手动将域添加到已批准列表。

    在输入框中输入要批准的域,然后单击Add 。 对每个要批准的域重复此进程。

注意

如果您限制了联合用户的成员资格,则当您添加的域用于访问权限联合之外的组织时, Atlas会发出警告。

添加所有所需的域后,单击Submit

绕过 SAML 模式

Bypass SAML Mode 提供了一个登录URL ,该 URL 可绕过您的联合身份验证,而允许您使用Atlas凭证进行身份验证。

如果您的联合身份验证设置未正确配置,您可能无法通过IdP登录 Atlas。 Bypass SAML Mode URL有助于防止您被锁定在 Atlas 组织之外。 在配置和测试IdP时,我们建议您记下Bypass SAML Mode URL,以确保您可以登录 Atlas 并正确配置联合身份验证设置。

每个Bypass SAML Mode URL都与一个单独的IdP关联,并对应于 IdP 的Login URL

Bypass SAML Mode 在默认情况下启用, 但在确信已正确配置联合身份验证后,作为一种安全措施, 您可能希望禁用此模式。

要设置Bypass SAML Mode ,请在Federation Management Console中:

1

GoIdentity Providers 页面。

  1. 在Atlas中,转到您组织的 Federation Management 控制台。

    1. 如果尚未显示,组织从导航栏中的Organizations菜单。

    2. 在侧边栏中,单击 Identity & Access 标题下的 Federation

    3. 单击 Open Federation Management App(连接)。

      显示“联合”页面。

  2. 在侧边栏中,单击 Identity Providers

2

找到要查看/修改 设置的 IdP。Bypass SAML Mode

3

根据需要切换Bypass SAML Mode

4

如果要禁用Bypass SAML Mode ,请单击确认对话框中的Disable

启用后登录 Bypass SAML Mode

启用Bypass SAML Mode后,您必须使用以下方式登录Atlas :

  • IdP Bypass SAML Mode URL

  • 用户名:

    • 包含映射IdP 的域。

    • 在配置联合身份验证之前,您已使用此用户名登录 Atlas 或 Cloud Manager。

将用户成员资格限制为联合

您可以防止联合身份验证实例中的用户创建新组织 或使用其凭据访问联邦之外的组织。 配置此设置可完全 控制联邦用户,并有助于确保联邦用户只能访问所需的 Atlas 组织。

重要

此设置适用于整个联合,包括联合内的所有身份提供程序和组织。

Considerations

启用此设置后:

  • 任何联合身份验证实例的用户都不能访问联邦之外的组织。

    • 同样,任何联邦用户都不能接受或接收关于加入联邦之外组织的邀请。

  • 联合中具有Organization Owner角色的用户仍可创建新组织。 这些新组织会自动连接到您的联邦。

  • 联邦中没有Organization Owner角色的用户无法创建任何新组织。

  • 联邦用户保留其在成员资格受到限制之前对任何组织的访问权限。

步骤

Federation Management Console中:

1
GoAdvanced Settings 页面。

  1. 在Atlas中,转到您组织的 Federation Management 控制台。

    1. 如果尚未显示,组织从导航栏中的Organizations菜单。

    2. 在侧边栏中,单击 Identity & Access 标题下的 Federation

    3. 单击 Open Federation Management App(连接)。

      显示“联合”页面。

  2. 在侧边栏中,单击 Advanced Settings

2
将 切换为Restrict Membership On
3
查看用户冲突

如果您的联合中包含属于联合以外组织的用户,Atlas 会显示警告横幅。 要查看冲突用户,请单击View User Conflicts

Atlas 显示一个模态框,其中包含与联邦限制相冲突的 用户列表。请考虑联系这些用户,让他们了解此限制。

后退

PingOne

来年

多因素

在此页面上