Make the MongoDB docs better! We value your opinion. Share your feedback for a chance to win $100.
Click here >
Docs 菜单
Docs 主页
/
管理
/
Ops Manager
Docs 主页
/
管理
/
Ops Manager
Docs 主页
/
管理
/
Ops Manager

为 OIDC 身份验证配置MongoDB 助手

Overview

您可以配置MongoDB 助手(包括自动化、监控和备份),以使用 OIDC Workload Identity Federation 对MongoDB部署进行身份验证。通过 OIDC,代理使用来自身份提供程序 (IdP) 的短期令牌,而不是长期数据库凭证。代理在这些令牌过期前自动对其进行刷新。

本教程介绍如何:

  • 在Ops Manager中为MongoDB 部署启用 OIDC身份验证。

  • 注册 OIDC 身份提供程序 配置。

  • 配置MongoDB 助手以使用 OIDC 连接。

Considerations

不可逆的身份验证方法

为工作负载联合配置MongoDB 助手后,无法恢复为本地身份验证。

令牌刷新

MongoDB Agent 在 OIDC 令牌过期前自动对其进行刷新。令牌有效期取决于您的身份提供程序配置,通常范围5 到 60 分钟。

共享代理配置

OIDC 配置适用于所有代理功能:自动化、监控和备份。您无需单独配置每个函数。

先决条件

在为OIDC身份验证配置MongoDB 助手之前,请为MongoDB 部署启用OIDC 工作负载联合身份。要学习;了解详情,请参阅 使用 OAuth 设置 工作负载 Identity Federation 2.0。

步骤

要为 MongoDB Agent 配置 OIDC 身份验证,请执行以下操作:

1

导航至安全设置。

在Ops Manager中,转到您的项目。在左侧导航栏中,依次单击 DeploymentSecurity,然后选择 Settings标签页。

注意

如果您尚未为项目配置安全性,则会出现横幅,提示您设立网络加密、身份验证和授权。单击 Get Started访问权限设置。

2

Enable OIDC 身份验证.

MongoDB Deployment Authentication Mechanism 部分,选择 Federated Auth (OIDC)

3

添加 OIDC 身份提供程序配置。

  1. OIDC Connection and Authorization 部分中,单击 + OIDC IdP Configuration

  2. OIDC Protocol Settings窗口中,选择 Workload Identity Federation

  3. 输入 身份提供程序 详细信息:

    字段
    说明

    Configuration Name

    在Ops Manager中标识此身份提供程序 配置的前缀。

    Issuer URI

    颁发访问权限令牌的身份提供程序 的 URI。

    Audience

    必须与 身份提供程序 发布的 JWT 中的 aud 声明一致。

    Authorization Method

    根据您的身份提供程序设置,选择 User IDGroup Membership

    Customize User Claim

    用于标识用户身份的声明。默认为 sub

  4. 单击 Save Configuration(连接)。

4

配置与部署的代理连接。

  1. MongoDB Agent Connections to Deployment 部分,选择 Workload Federation

    重要

    使用工作负载联合部署后,无法将MongoDB 助手恢复为本地身份验证。

  2. 输入代理身份验证详细信息:

    字段
    说明

    OIDC IdP Configuration

    身份提供程序 配置,**MongoDB Agent** 用于身份验证。选择您在上一步中创建的配置。

    User Identifier

    用户主体声明值。Ops Manager将MongoDB用户创建为 [configuration name]/[user identifier]

    Authentication Method

    代理 身份提供程序 连接的身份验证方法。选择 Client Credentials 以进行标准身份提供程序集成(例如 Okta),或选择 Built-in 以用于 Azure 或 GCP 上的云原生工作负载身份。

    Client ID

    分配给代理的OAuth 2.0客户端ID 。使用 Client Credentials 时必需。

    Client Secret

    分配给代理的 OAuth 2.0客户端密钥。使用 Client Credentials 时必需。

    提示

    如果您的身份提供程序 使用云原生工作负载身份,例如Azure或GCP,请选择 Built-in。您无需提供 Client IDClient Secret

  3. 单击 Save Settings(连接)。

5

查看并部署更改。

  1. Review Your Changes 模式中,查看部署差异。确认差异显示 Auth Mechanisms: MONGODB-OIDC 以及 Auth 下的工作负载联合详细信息。

  2. 确认部署。

Ops Manager应用更改后, MongoDB 助手会自动接收更新的配置,并从 身份提供程序 获取其初始 OIDC 令牌。代理无需重启即可过渡到 OIDC 身份验证。

零停机时间轮换代理凭证

要在不重新启动 MongoDB Agent 的情况下轮换代理的 OIDC 客户端密钥,请执行以下操作:

1

身份提供程序中生成新的客户端密钥。

IdP 中,打开用于此部署的 OAuth/OIDC 应用程序并生成新的客户端密钥。先不要撤销现有密钥。

2

在Ops Manager中更新密钥。

  1. 在Ops Manager中,转到您的项目。单击 DeploymentSecurity,然后选择 Settings标签页。

  2. MongoDB Agent Connections to Deployment 下,选择 Workload Federation

  3. Client Secret 中输入新密钥,然后单击 Save Settings

  4. 查看并确认部署。

3

等待MongoDB 助手刷新其令牌,通常在一小时内。

4

撤销 身份提供程序 中的旧密钥。

后退

配置 TLS

来年

管理配置文件和密码

在此页面上