Docs 菜单
Docs 主页
/
管理
/
Ops Manager
Docs 主页
/
管理
/
Ops Manager
Docs 主页
/
管理
/
Ops Manager

为 OIDC 身份验证配置MongoDB 助手

Overview

您可以配置MongoDB 助手(包括自动化、监控和备份),以使用 OIDC Workload Identity Federation 对MongoDB部署进行身份验证。通过 OIDC,代理使用来自身份提供程序 (IdP) 的短期令牌,而不是长期数据库凭证。代理在这些令牌过期前自动对其进行刷新。

本教程介绍如何:

  • 在Ops Manager中为MongoDB 部署启用 OIDC身份验证。

  • 注册 OIDC IdP 配置。

  • 配置MongoDB 助手以使用 OIDC 连接。

Considerations

不可逆的身份验证方法

为工作负载联合配置MongoDB 助手后,无法恢复为本地身份验证。

令牌刷新

MongoDB 助手在 OIDC 令牌过期前自动对其进行刷新。令牌有效期取决于 IdP 配置,通常范围5 到60 分钟。

共享代理配置

OIDC 配置适用于所有代理功能:自动化、监控和备份。您无需单独配置每个函数。

先决条件

在为 OIDC身份验证配置MongoDB 助手之前,请为MongoDB 部署启用OIDC 工作负载联合身份。要学习;了解详情,请参阅 使用 OAuth 设置 Workload Identity Federation2.0 。

步骤

要为MongoDB 助手配置 OIDC身份验证,请执行以下操作:

1

导航至安全设置。

在Ops Manager中,转到您的项目。在左侧导航栏中,依次单击 DeploymentSecurity,然后选择 Settings标签页。

注意

如果您尚未为项目配置安全性,则会出现横幅,提示您设立网络加密、身份验证和授权。单击 Get Started访问权限设置。

2

启用 OIDC身份验证。

MongoDB Deployment Authentication Mechanism 部分,选择 Federated Auth (OIDC)

3

添加 OIDC 身份提供商配置。

  1. OIDC Connection and Authorization 部分中,单击 + OIDC IdP Configuration

  2. OIDC Protocol Settings窗口中,选择 Workload Identity Federation

  3. 输入 IdP 详细信息:

    字段
    说明

    Configuration Name

    在Ops Manager中标识此 IdP 配置的前缀。

    Issuer URI

    颁发访问权限令牌的 IdP 的 URI。

    Audience

    必须与aud IdP 发布的 JWT 中的 声明一致。

    Authorization Method

    根据您的 IdP设置,选择User ID Group Membership

    Customize User Claim

    用于标识用户身份的声明。默认为 sub

  4. 单击 Save Configuration(连接)。

4

配置代理与部署的连接。

  1. MongoDB Agent Connections to Deployment 部分,选择 Workload Federation

    重要

    使用工作负载联合部署后,无法将MongoDB 助手恢复为本地身份验证。

  2. 输入代理身份验证详细信息:

    字段
    说明

    OIDC IdP Configuration

    MongoDB 助手用于身份验证的 IdP 配置。选择您在上一步中创建的配置。

    User Identifier

    用户主体声明值。 Ops Manager将MongoDB用户创建为 [configuration name]/[user identifier]

    Authentication Method

    代理 IdP 连接的身份验证方法。为标准Client Credentials IdP 集成(例如 Okta)选择Built-in ,为Azure或GCP上的云原生工作负载身份选择 。

    Client ID

    分配给代理的OAuth 2.0客户端ID 。使用 Client Credentials 时必需。

    Client Secret

    分配给代理的 OAuth 2.0客户端密钥。使用 Client Credentials 时必需。

    提示

    如果您的 IdP 使用云原生工作负载身份,例如Azure或GCP,请选择Built-in 。您无需提供Client IDClient Secret

  3. 单击 Save Settings(连接)。

5

查看并部署更改。

  1. Review Your Changes 模式中,查看部署差异。确认差异显示 Auth Mechanisms: MONGODB-OIDC 以及 Auth 下的工作负载联合详细信息。

  2. 确认部署。

Ops Manager应用更改后, MongoDB 助手会自动接收更新的配置,并从 IdP 获取其初始 OIDC 令牌。代理无需重启即可过渡到 OIDC身份验证。

零停机时间轮换代理凭证

要在不重新启动MongoDB 助手的情况下轮换助手的 OIDC客户端密钥,请执行以下操作:

1

IdP 中生成新的客户端密钥。

IdP 中,打开用于此部署的OAuth/OIDC应用程序并生成新的客户端密钥。先不要撤销现有密钥。

2

在Ops Manager中更新密钥。

  1. 在Ops Manager中,转到您的项目。单击 DeploymentSecurity,然后选择 Settings标签页。

  2. MongoDB Agent Connections to Deployment 下,选择 Workload Federation

  3. Client Secret 中输入新密钥,然后单击 Save Settings

  4. 查看并确认部署。

3

等待MongoDB 助手刷新其令牌,通常在一小时内。

4

撤销 IdP 中的旧密钥。

后退

配置 TLS

来年

管理配置文件和密码

在此页面上