Workload Identity Federation 允许应用程序使用外部编程身份(例如Azure服务主体、 Azure托管身份和 Google 服务帐户)访问权限MongoDB Ops Manager部署。
如何操作
Workload Identity Federation 允许您的应用程序使用 OAuth 2.0访问权限令牌访问权限MongoDB部署。访问权限令牌可由任何外部身份提供者颁发,包括Azure Entra ID和Google Cloud Platform。 MongoDB Ops ManagerMongoDB Ops Manager存储用户标识符和权限,但不存储密钥。仅 某些MongoDB驱动程序支持应用程序的这种身份验证机制。
MongoDB驱动程序支持Workload Identity Federation 的两种类型的身份验证流程:内置身份验证和回调身份验证。
内置身份验证
如果将应用程序部署在具有受支持主体类型的受支持基础架构上,则可以使用内置身份验证。您的应用程序可以访问 Ops Manager 部署,而无需提供密码或手动向云提供商的元数据服务请求 JWT。相反,您选择的MongoDB驱动程序会使用现有的主体标识符在幕后请求JWT访问令牌,然后在应用程序连接时,该令牌会自动传递到Ops Manager部署。
内置身份验证支持的基础架构和主体类型
云服务提供商 | 基础架构类型 | 主体类型 |
|---|---|---|
GCP | Compute Engine | GCP 服务帐号 |
App Engine 标准环境 | ||
App Engine 灵活环境 | ||
Cloud Functions | ||
Cloud Run | ||
Google Kubernetes Engine | ||
Cloud Build | ||
AZURE | Azure VM | Azure 托管身份(分配的用户和系统) |
回调身份验证
您可以在任何支持 OAuth 2.0访问权限令牌的服务中使用回调身份验证。Workload Identity FederationJSON web token 会调用回调方法,在该方法中,您可以从授权服务器或云提供商请求所需的JSON web token ,当您的应用程序通过MongoDB Ops Manager Workload Identity Federation 连接到MongoDB Ops Manager时,您必须传递该令牌。
请查看所选驱动程序的文档以了解其他实施详情。
Azure托管身份的安全性
工作负载 Identity Federation 与 Azure 托管 Identities 提供了最安全的方法,对 Azure 上运行的 MongoDB Ops Manager 部署进行身份验证。这种方法具有以下安全优势:
利用托管身份:这允许在Azure服务(例如Azure VM、AKS、 Azure Functions)上运行的应用程序使用分配的Azure托管身份向MongoDB Ops Manager进行身份验证,而无需管理单独的MongoDB凭证。
安全的“无密码”身份验证:您的应用程序从Azure元数据服务器获取短期 OAuth 2.0访问令牌,然后MongoDB Ops Manager会验证该令牌。这样就无需在应用程序代码或配置中存储和托管敏感的数据库用户名和密码。
集中身份管理:您可以在Azure Entra ID框架内管理Azure工作负载的身份,从而为身份管理提供单一事实来源。
增强审核:Azure 提供服务帐户活动的 Atlas 审核日志,从而增强可追溯性和安全监控功能。
必需的访问权限
要配置 Workload Identity Federation,您必须拥有MongoDB Ops Manager的Project Owner MongoDB Ops Manager访问权限。
先决条件
您必须具备以下条件:
MongoDB 7.0 或更高版本。
配置了MongoDBMongoDB Agent 助手的至少一种其他身份验证机制。
注意
MongoDB AgentMongoDB 助手助手无法通过 OIDC 连接到您的部署。您必须为MongoDBMongoDB Agent 助手启用额外的身份验证机制。MongoDB Ops Manager如果MongoDB Ops Manager不管理监控或备份,您必须手动将其配置为使用备用身份验证机制。
步骤
要配置 Workload Identity Federation,请完成以下步骤:
配置工作负载身份提供程序(一次性设置)。
配置外部身份提供商应用程序
注意
如果要重置项目的身份验证和 TLS 设置,请先取消 Ops Manager 在项目中托管的任何 MongoDB 部署。
为了使用Azure托管身份或Azure服务主体访问权限Ops Manager部署,您需要注册Azure Entra ID应用程序。如果您现有的应用程序注册用于劳动力(人类用户)访问权限,我们建议您注册一个单独的应用程序用于工作负载访问权限。
注册应用程序。
导航至 App registrations 。
在Azure门户 帐户中,搜索并单击 Microsoft Entra ID。
在左侧导航栏的 Manage 部分,单击 App registrations。
单击 New registration(连接)。
应用以下值。
字段值Name
Ops Manager Database - Workload
Supported Account Types
Accounts in this organizational directory only (single tenant)
Redirect URI
Web
(可选)添加群组声明。
在MongoDB Ops Manager中定义访问权限权限时,最佳实践是使用服务主体标识符作为MongoDB用户标识符。MongoDBMongoDB Ops Manager如果您计划使用这种常用方法,请跳过此步骤。 但是,如果您更愿意使用群组标识符(例如Microsoft Entra ID安全群组标识符),则可以通过以下步骤在应用程序注册中设立群组声明。
导航至 Token Configuration。
在左侧导航栏的 Manage 部分,单击 Token Configuration。
单击 Add groups claim(连接)。
在 Edit groups claim 模式中,选择 Security。
所选择的群组取决于您在 Azure 环境中配置的群组类型。 您可能需要选择不同类型的群组 来发送相应的群组信息。
在 Customize token properties by type(按类型自定义令牌属性)部分,确保仅选择Group ID(群组 ID)。
当您选择 Group Id 时,Azure 将发送安全组的对象 ID。
单击 Add(连接)。
要学习;了解有关添加群组声明的更多信息,请参阅Azure文档。
更新清单。
在左侧导航栏的 Manage 部分,单击 Manifest。
将 accessTokenAcceptedVersion 从
null更新为2。数字
2代表 Microsoft 访问令牌版本 2。其他应用程序可以将其用作 Active Directory 托管用户身份的签名证明。版本 2 确保令牌是 MongoDB 可理解的 JSON 网络令牌。单击 Save(连接)。
要学习;了解有关添加可选声明的更多信息,请参阅Azure文档。
记住元数据。
在左侧导航栏中单击 Overview。
在顶部导航栏中,单击 Endpoints。
复制不带
/.well-known/openid-configuration部分的 OpenID Connect metadata document 值。您也可以通过访问 OpenID Connect metadata document(OpenID Connect 元数据文档)URL 并复制
issuer的值来检索该值。
下表显示了这些MicrosoftMongoDB Ops Manager MicrosoftEntraID ID用户界面值映射到的MongoDB Ops Manager配置属性。
Microsoft Entra ID UI | Ops Manager 配置属性 |
|---|---|
OpenID Connect metadata document (without /.well-known/openid-configuration) | Issuer URI. |
Application ID URI (<Application ID>) | Audience |
您无需在GCP帐户中进行任何配置更改。
配置工作负载 Identity Federation 身份验证
注意
Workload Identity Federation 仅支持使用JSON webJSON web token token进行身份验证。它不支持不透明访问权限令牌。
要在MongoDBAzure Ops Manager中使用Azure EntraID MongoDB Ops ManagerID配置工作负载身份联合身份提供程序,请执行以下操作:
可选:指定 TLS 设置。
字段 | 操作 |
|---|---|
MongoDB 部署传输层安全 (TLS) | 将此滑块切换至 ON(开启)。 |
TLS CA 文件路径 | TLS 证书颁发机构文件是
在运行 MongoDB 进程的每个主机上键入 TLS 证书颁发机构文件的文件路径:
这将为项目中的 MongoDB 进程启用 单击 Validate(验证)测试部署中每个主机在您指定的路径上是否都有 TLS 证书颁发机构。 |
集群 TLS CA 文件路径 | 包含来自证书授权机构的根证书链的 如果不指定
|
客户端证书模式 |
输入以下设置。
设置 | 必要性 | 值 |
|---|---|---|
Configuration Name | 必需 | |
Issuer URI | 必需 | 所注册的 IdP 应用程序提供的发行者值。使用此 URI,MongoDB 会找到 OpenID 提供商配置文档,该文档应在 |
Audience | 必需 | 外部身份提供商打算为其提供令牌的实体。 输入您在外部身份提供程序中注册的应用的 |
授权类型 | 必需 | 选择 更常见的是使用 |
Customize User Claim | 必需 | 包含用户主体身份声明的标识符。接受默认值,除非 IdP 使用不同的声明。 默认值: |
Customize Group Claim | 必需 | 如果选择 默认值: |
要在MongoDB OpsGCP MongoDB Ops ManagerManager中使用GCP配置工作负载身份联合身份提供程序,请执行以下操作:
可选:指定 TLS 设置。
字段 | 操作 |
|---|---|
MongoDB 部署传输层安全 (TLS) | 将此滑块切换至 ON(开启)。 |
TLS CA 文件路径 | TLS 证书颁发机构文件是
在运行 MongoDB 进程的每个主机上键入 TLS 证书颁发机构文件的文件路径:
这将为项目中的 MongoDB 进程启用 单击 Validate(验证)测试部署中每个主机在您指定的路径上是否都有 TLS 证书颁发机构。 |
集群 TLS CA 文件路径 | 包含来自证书授权机构的根证书链的 如果不指定
|
客户端证书模式 |
配置 OIDC 授权
MongoDB不会显式为 OIDC 创建数据库用户。它根据配置将 OIDC 用户映射到MongoDB角色。
根据您在配置 OIDC身份验证时选择的授权类型,选择一个标签页。
如果您选择了 User ID授权类型,请创建一个新用户以向单个用户授权:
添加 OIDC 用户。
填写用户帐户字段:
字段说明Identifier
在第一个字段,输入
$external数据库。在第二个字段,输入使用用户名 IdP 配置名称的用户名和配置中的用户主体声明,用斜杠
/分隔:{configuration_name}/{user_principal_claim}
Roles
在此框中输入任何可用的用户定义角色和内置角色。 单击该组合框会提供现有角色的列表。
Authentication Restrictions
单击 Add Entry(连接)。
在Client Source 或 框中添加一个或多个IP地址和/或 CIDRServer Address 块。用逗号分隔多个地址或区块。
Client Source 限制此用户可以进行身份验证并使用给定角色的地址。
Server Address 限制该用户可以进行身份验证的地址并具有给定的角色。
单击 Save(连接)。
要添加其他条目,请单击Add Entry 。
单击 Add User(连接)。
如果您选择了Group Membership 授权类型,请完成以下步骤以创建自定义角色,该角色根据 IdP 用户群组成员身份授予授权:
创建 OIDC 角色。
输入以下字段:
字段必要性说明Identifier
必需
在Database框中,输入
admin。在Name 框中,输入您的 OIDC IdP 配置名称和来自外部身份提供商的群组名称,并用斜杠分隔
/:{configuration_name}/{group_name} Inherits From
Optional
角色名称和数据库对的列表。 这些对的格式为
roleName@dbName。Authentication Restrictions
Optional
您想要限制来自IdP的 IP 地址或 CIDR 符号列表。
Privilege Actions by Resource
Optional
允许对资源执行的操作。
要学习;了解更多信息,请参阅特权操作。
单击 Add Role(连接)。
使用 Workload Identity Federation 将应用程序连接到 MongoDB
使用以下MongoDB驱动程序通过 Workload Identity Federation身份验证将应用程序程序连接到MongoDB :
管理现有工作负载 Identity Federation 配置
要管理Workload Identity Federation 配置,您可以执行以下操作。
Revoke JWKS
注意
请勿使用此功能轮换您的签名密钥。轮换 OIDC IdP 签名密钥时,MongoDB 会在现有访问令牌到期后自动获取 JWKS。
如果您的私钥遭到泄露,您可以立即撤销缓存在 MongoDB 节点中的 JSON Web 密钥集 (JWKS):
编辑配置
要编辑 Workload Identity Federation 配置,请执行以下操作:
删除配置
要删除 Workload Identity Federation 配置,请执行以下操作: