Azure Cosmos DB for MongoDB 仮想コアでは、Microsoft Entra ID とネイティブ DocumentDB 認証との統合がサポートされています。 各 Azure Cosmos DB for MongoDB 仮想コア クラスターは、ネイティブ DocumentDB 認証を有効にして、1 人の組み込み管理ユーザーで作成されます。
Microsoft Entra ID 認証は、ネイティブの DocumentDB 認証方法に加えて、クラスターで有効にすることも、代わりに有効にすることもできます。 MongoDB 用の各 Azure Cosmos DB 仮想コア クラスターで認証方法を個別に構成できます。 認証方法を変更する必要がある場合は、クラスターのプロビジョニングが完了した後でいつでも変更できます。 認証方法を変更する場合、クラスターを再起動する必要はありません。
Microsoft Entra ID 認証
Microsoft Entra ID 認証は、Microsoft Entra ID で定義された ID を使用して Azure Cosmos DB for MongoDB 仮想コアに接続するメカニズムです。 Microsoft Entra ID 認証を使用すると、データベース ユーザー ID やその他の Microsoft サービスを一元的な場所で管理できるため、アクセス許可の管理と ID サービスのコンプライアンスの適用が簡素化されます。
認証に Microsoft Entra ID を使用する利点は次のとおりです。
一様な方法で Azure サービス全体のユーザーを認証する
パスワード ポリシーとパスワード ローテーションの一元管理
Microsoft Entra ID による複数の認証形式のサポート (パスワードを格納する必要がなくなる)
Azure Cosmos DB for MongoDB 仮想コア クラスターに接続するアプリケーションに対するトークンベースの認証のサポート
MongoDB ドライバーとの相互運用性は、 Microsoft Entra ID の OpenID Connect (OIDC) サポートを介して提供されます。 OIDC は、承認に使用される OAuth2 プロトコルに基づく認証プロトコルです。 OIDC は、OAuth2 からの標準化されたメッセージ フローを使用して ID サービスを提供します。 Microsoft Entra ID を使用して Azure Cosmos DB for MongoDB 仮想コア クラスターに対して認証する必要がある場合は、OIDC ID を使用して Microsoft Entra ID セキュリティ トークンを指定します。
Microsoft Entra ID プリンシパルの管理と非管理者アクセス
Azure Cosmos DB for MongoDB 仮想コア クラスターで Microsoft Entra ID 認証が有効になっている場合は、1 つ以上の Microsoft Entra ID プリンシパルを 管理者ユーザー としてそのクラスターに追加できます。 Microsoft Entra ID 管理者には、Microsoft Entra ID ユーザー、サービス プリンシパル、またはマネージド ID を指定できます。 複数の Microsoft Entra ID 管理者は、いつでも構成できます。
さらに、Microsoft Entra ID 認証が有効になると、1 人以上の管理者以外の Microsoft Entra ID ユーザーをいつでもクラスターに追加できます。 管理者以外のユーザーは、多くの場合、管理特権を必要としない継続的な運用タスクに使用されます。
考慮事項
クラスターでネイティブ認証が有効になっているか、ネイティブ認証と Microsoft Entra ID の両方が有効になっている必要があります。 Microsoft Entra ID は、クラスターで有効になっている唯一の認証方法にすることはできません。
複数の Microsoft Entra ID プリンシパルは、Azure Cosmos DB for MongoDB 仮想コア クラスターの Microsoft Entra ID 管理者としていつでも構成できます。 たとえば、クラスター内のすべての管理者に対して、次の種類の ID を同時に構成できます。
- 人間のアイデンティティ
- ユーザー割り当て済みマネージド ID
- システム割り当てのマネージド ID
ヒント
Microsoft Entra ID では、他にも多くの種類の ID を使用できます。 詳細については、「ID の基礎」を参照してください。
Microsoft Entra ID のプリンシパルは永続的です。 Microsoft Entra ID プリンシパルが Microsoft Entra ID サービスから削除された場合、そのプリンシパルは引き続きクラスター上のユーザーとして残りますが、新しいアクセス トークンを取得できなくなります。 この場合、一致するロールはクラスターにまだ存在しますが、クラスター ノードに対して認証を行うことができません。 データベース管理者は、所有権を譲渡し、このようなロールを手動で削除する必要があります。
注
削除されたプリンシパルを使用したサインインは、トークンの有効期限が切れるまで (トークンの発行から最大 90 分) 引き続き行うことができます。 また、Azure Cosmos DB for MongoDB 仮想コア クラスターからユーザーを削除した場合、このアクセスはすぐに取り消されます。
制限事項
Microsoft Entra ID 認証機能には、次の現在の制限があります。
この機能は、レプリカ クラスターではサポートされていません。
この機能は、復元されたクラスターではサポートされていません。
この機能は、Mongo シェル (
mongosh) または MongoDB Compass ではサポートされていません。