授权用户
您可以使用工作负载身份联合将数据库用户添加到MongoDB。此方法使您的组织身份提供者能够管理用户访问,确保数据库操作的安全集中式身份验证。
开始之前
注意
您的oidcIdentityProviders配置决定了您必须采取的方法来授权用户
如果
useAuthorizationClaim字段设置为false以启用内部授权,则使用用户ID授权用户。如果该字段设置为
true,则使用身份提供者组授权用户。
步骤
1
创建MongoDB角色
在admin数据库中,使用db.createRole()方法创建将身份提供者组角色映射到MongoDB角色的角色。
使用以下格式创建角色
<authNamePrefix>/<authorizationClaim>
oidcIdentityProviders参数提供了authNamePrefix字段和authorizationClaim字段。例如
db.createRole( { role: "okta/Everyone", privileges: [ ], roles: [ "readWriteAnyDatabase" ] } )
2
创建用户
要创建用户并将他们添加到您的MongoDB数据库中,请使用db.createUser()命令。
对于user字段,其中authNamePrefix和authorizationClaim值来自oidcIdentityProviders参数
<authNamePrefix>/<authorizationClaim>
要在MongoDB中创建具有authNamePrefix为okta和authorizationClaim为jane.doe的用户,请运行以下
db.createUser( { user: "okta/jane.doe", roles: [ { role: "readWriteAnyDatabase", db: "admin" } ] } )
下一步操作
您可以使用以下受支持的驱动程序,通过工作负载身份联合将应用程序连接到MongoDB