Docs 菜单
Docs 主页
/
MongoDB Atlas
/ / /

管理身份提供程序

在此页面上

  • 必需的访问权限
  • 步骤
  • 配置外部身份提供商应用程序
  • 将您的身份提供商应用于 Atlas
  • 使用 Atlas 元数据配置身份提供商
  • 后续步骤

MongoDB 联合身份验证在 MongoDB 系统(如MongoDB 支持MongoDB University、MongoDB Atlas、MongoDB Cloud Manager、MongoDB Community 论坛MongoDB 反馈)之间链接您的凭证。Atlas 使用联合身份管理模型实施身份验证。

使用 FIM 模型:

  • 贵公司使用身份提供者 (IdP) 管理凭据。有了 IdP,贵公司使您能够通过网络上的其他服务进行身份验证。

  • 您可以配置 MongoDB Atlas,使用从 IdP 传递的数据进行身份验证。

这超出了 SSO 的范围,因为是由 IdP 而不是 MongoDB 管理凭证。用户无需记住其他用户名和密码即可使用 Atlas。

重要

当您启用联合 IdP 时,Atlas 会禁用任何其他身份验证机制。

以下步骤引导您将 SAML IdP 链接到 Atlas。

要管理联合身份验证,您必须对一个或多个将联合设置委托给实例的组织具有 Organization Owner访问权限。

重要

两个阶段的配置

根据身份提供者的不同,在将身份提供者关联到 Atlas 等服务提供者时,可能会应用一些循环逻辑。要将 IdP 链接到 Atlas:

  • IdP 需要来自 ATLAS 的值

  • Atlas 需要您的 IdP(身份提供商)的值。

为简化设置,Atlas 会提示您为 IdP 和 Atlas 配置输入占位符值。 您将在稍后的过程中 替换这些值。

要配置联合身份验证,必须有一个外部 SAML IdP应用程序。在 SAML IdP 中,必须执行以下操作:

  1. 为 Atlas 创建新的应用程序。

  2. 为新应用程序配置 SAML 初始值:

    1. 为以下字段设置占位符值:

      • SP Entity ID or Issuer

      • Audience URI

      • Assertion Consumer Service (ACS) URL

    2. 为以下字段设置有效值:

      字段
      Signature Algorithm

      用于加密 IdP 签名的算法。Atlas 支持以下签名算法值:

      • SHA-1

      • SHA-256

      Name ID

      有效的电子邮件地址。

      重要

      Name ID 是电子邮件地址和用户名。

      Name ID Format
      • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

      • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

    3. 为以下 SAML 属性值创建具有以下属性名的属性:

      SAML 属性名称
      SAML 属性值
      firstName
      lastName
      memberOf
      用户组

      注意

    4. 保存这些值。

完成 IdP 应用程序的初始设置后,您可以将 IdP 链接到 Atlas,用于联合用户登录。

注意

先决条件

此过程假设你已拥有外部 IdP。要了解如何配置 IdP,请参阅配置外部身份提供商应用程序。

您可以在 Atlas 中通过 Federation Management Console来配置联合身份验证。使用此控制台执行以下操作:

  • 配置 Identity Providers 以对属于指定组织的用户进行身份验证。

  • 将 Atlas Organizations 连接到 IdP

  • 验证 Domains 并将其与 IdP 关联,以强制用户使用该 IdP 进行身份验证。

1
  1. 如果尚未显示,请从导航栏中的Organizations菜单。

  2. 单击 Organizations 菜单旁边的 Organization Settings 图标。

    显示“组织设置”页面。

2

Setup Federated LoginManage Federation Settings 部分,单击 Visit Federation Management App

  1. 单击 Configure Identity Providers(连接)。

  2. 如果您尚未配置任何身份提供程序,单击 Setup Identity Provider(设置身份提供程序)。否则,在 Identity Providers(身份提供程序)屏幕上,单击 Add Identity Provider(配置身份提供程序)。

  3. 输入或选择以下 SAML 协议设置。

    字段
    必要性
    说明
    Configuration Name
    必需
    标识此配置的人类可读标签。
    Configuration Description
    Optional
    描述此配置的人类可读标签。
    IdP Issuer URI
    必需

    SAML 断言发布者的标识符。

    为此字段指定占位符值。即可从 IdP 获取此字段的实际值当你提供 Atlas 元数据后。

    IdP Single Sign-On URL
    必需

    SAML AuthnRequest 接收者的 URL。

    为此字段指定占位符值。即可从 IdP 获取此字段的实际值当你提供 Atlas 元数据后。

    IdP Signature Certificate
    必需

    IdPPEM 编码公钥证书。您可以从 IdP 获取此值。

    您可以执行以下任一操作:

    • 从您的计算机上传证书,或者

    • 将证书内容粘贴到文本框中。

    Request Binding
    必需

    用于发送 AuthNRequest 的 SAML 身份验证请求协议绑定。可以为以下任一项:

    • HTTP POST

    • HTTP REDIRECT

    Response Signature Algorithm
    必需

    用于签署 SAML AuthNRequest 的响应算法。可以为以下任一项:

    • SHA-256

    • SHA-1

  4. 单击 Next(连接)。

在 Atlas 中设置 IdP 后,您可以向 IdP 提供所需的 Atlas 元数据。

  1. 在 Atlas 的 Identity Provider(身份提供程序)屏幕,单击 Download metadata(下载元数据),下载 IdP 所需的元数据。Atlas 以 .xml 文件的形式提供数据。

    显示如何下载元数据的图像

    注意

    如果您希望手动复制并保存这些值,Atlas 会提供 Assertion Consumer Service URLAudience URI。这些值包含在元数据下载中。

    注意

    SAML 信任模型要求在设置期间通过可信通道进行证书交换,而且不需要 CA 签名证书。在联合身份验证期间,MongoDB Atlas 和浏览器之间的所有流量都使用 CA 签名证书通过 TLS 传输。因此,metadata.xml 仅提供自签名证书用于请求签名和签名验证。

  2. 将元数据上传到您的 IdP

    您现在拥有必要信息来替换在 Atlas 中设置初始 IdP 映射时设置的占位符 IdP Issuer URI(IdP 颁发者 URI)和 IdP Single Sign-On URL(IdP 单点登录 URL)值。

  3. 在 Atlas 中,使用来自 IdP 的正确值修改为关联的 IdPIdP Issuer URIIdP Single Sign-On URL 设置的占位符值。

  4. (可选)将一个 RelayState URL 添加到您的 IdP 以将用户转到所选的 URL,并在登录后避免不必要的重定向。您可以使用:

    目的地
    RelayState URL
    MongoDB Atlas
    MongoDB 支持门户
    https://auth.mongodb.com/app/salesforce/exk1rw00vux0h1iFz297/sso/saml
    MongoDB University
    https://auth.mongodb.com/home/mongodb_thoughtindustriesstaging_1/0oadne22vtcdV5riC297/alndnea8d6SkOGXbS297
    MongoDB 社区论坛
    https://auth.mongodb.com/home/mongodbexternal_communityforums_3/0oa3bqf5mlIQvkbmF297/aln3bqgadajdHoymn297
    MongoDB 反馈引擎
    https://auth.mongodb.com/home/mongodbexternal_uservoice_1/0oa27cs0zouYPwgj0297/aln27cvudlhBT7grX297
    MongoDB JIRA
    https://auth.mongodb.com/app/mongodbexternal_mongodbjira_1/exk1s832qkFO3Rqox297/sso/saml
  5. 返回 Atlas 并单击 Finish(完成)。

重要

将您的 IdP 关联到 Atlas 后,它将在 Federation Management Console 中显示为 Inactive,直到您将至少一个域映射IdP

成功将 IdP 链接到 Atlas 后,您必须将一个或多个域映射到身份提供者。Atlas 通过 IdP 对来自这些域的用户进行身份验证。

后退

联合