Azure Cosmos DB for MongoDB 仮想コアでは、Microsoft Entra ID とネイティブ DocumentDB 認証との統合がサポートされています。 各 Azure Cosmos DB for MongoDB 仮想コア クラスターは、ネイティブ DocumentDB 認証を有効にして、1 人の組み込み管理ユーザーで作成されます。
Microsoft Entra ID 認証は、ネイティブの DocumentDB 認証方法に加えて、クラスターで有効にすることも、代わりに有効にすることもできます。 MongoDB 用の各 Azure Cosmos DB 仮想コア クラスターで認証方法を個別に構成できます。 認証方法を変更する必要がある場合は、クラスターのプロビジョニングが完了した後でいつでも変更できます。 認証方法を変更する場合、クラスターを再起動する必要はありません。
Microsoft Entra ID 認証
Microsoft Entra ID 認証は、Microsoft Entra ID で定義された ID を使用して Azure Cosmos DB for MongoDB 仮想コアに接続するメカニズムです。 Microsoft Entra ID 認証を使用すると、データベース ユーザー ID やその他の Microsoft サービスを一元的な場所で管理できるため、アクセス許可の管理と ID サービスのコンプライアンスの適用が簡素化されます。
認証に Microsoft Entra ID を使用する利点は次のとおりです。
一様な方法で Azure サービス全体のユーザーを認証する
パスワード ポリシーとパスワード ローテーションの一元管理
Microsoft Entra ID による複数の認証形式のサポート (パスワードを格納する必要がなくなる)
Azure Cosmos DB for MongoDB 仮想コア クラスターに接続するアプリケーションに対するトークンベースの認証のサポート
MongoDB ドライバーとの相互運用性は、 Microsoft Entra ID の OpenID Connect (OIDC) サポートを介して提供されます。 OIDC は、承認に使用される OAuth2 プロトコルに基づく認証プロトコルです。 OIDC は、OAuth2 からの標準化されたメッセージ フローを使用して ID サービスを提供します。 Microsoft Entra ID を使用して Azure Cosmos DB for MongoDB 仮想コア クラスターに対して認証する必要がある場合は、OIDC ID を使用して Microsoft Entra ID セキュリティ トークンを指定します。
Microsoft Entra ID プリンシパルの管理と非管理者アクセス
Azure Cosmos DB for MongoDB 仮想コア クラスターで Microsoft Entra ID 認証が有効になっている場合は、1 つ以上の Microsoft Entra ID プリンシパルを 管理者ユーザー としてそのクラスターに追加できます。 Microsoft Entra ID 管理者には、Microsoft Entra ID ユーザー、サービス プリンシパル、またはマネージド ID を指定できます。 複数の Microsoft Entra ID 管理者は、いつでも構成できます。
管理 Entra ID ユーザーは、Microsoft.DocumentDB/mongoClusters/users の下に Azure エンティティとして作成され、データベースにレプリケートされます。
さらに、Microsoft Entra ID 認証が有効になると、1 人以上の管理者以外の Microsoft Entra ID ユーザーをいつでもクラスターに追加できます。 管理者以外のユーザーは、多くの場合、管理特権を必要としない継続的な運用タスクに使用されます。
考慮事項
クラスターで認証方法が有効になっている必要があります。 ネイティブ認証と Microsoft Entra ID の両方、またはそのいずれかの方法を使用できます。
Important
クラスターを作成するときは、ネイティブの DocumentDB 認証方法を有効にし、ネイティブの管理ユーザー資格情報を指定する必要があります。 新しいクラスターのプロビジョニングが完了したら、ネイティブ DocumentDB 認証方法を無効にすることができます。
プライマリ クラスターとレプリカ クラスターの認証方法は、 個別に管理されます。
複数の Microsoft Entra ID プリンシパルは、Azure Cosmos DB for MongoDB 仮想コア クラスターの Microsoft Entra ID 管理者としていつでも構成できます。 たとえば、クラスター内のすべての管理者に対して、次の種類の ID を同時に構成できます。
- 人間のアイデンティティ
- ユーザー割り当て済みマネージド ID
- システム割り当てのマネージド ID
ヒント
Microsoft Entra ID では、他にも多くの種類の ID を使用できます。 詳細については、「ID の基礎」を参照してください。
Microsoft Entra ID のプリンシパルは永続的です。 Microsoft Entra ID プリンシパルが Microsoft Entra ID サービスから削除された場合、そのプリンシパルは引き続きクラスター上のユーザーとして残りますが、新しいアクセス トークンを取得できなくなります。 この場合、一致するロールはクラスターにまだ存在しますが、クラスター ノードに対して認証を行うことができません。 データベース管理者は、所有権を譲渡し、このようなロールを手動で削除する必要があります。
注
削除されたプリンシパルを使用したサインインは、トークンの有効期限が切れるまで (トークン の発行から最大 90 分) 引き続き行うことができます。 また、Azure Cosmos DB for MongoDB 仮想コア クラスターからユーザーを削除した場合、このアクセスはすぐに取り消されます。
関連コンテンツ
- Microsoft Entra ID 認証を使用してコンソール アプリを開発する
- Microsoft Entra 対応 Web アプリケーション テンプレートをデプロイする
- Microsoft Entra ID を有効にし、クラスターで Entra ID ユーザーを管理する方法について説明します
- Azure Cosmos DB for MongoDB 仮想コアでの Microsoft Entra ID の制限を 確認する
- Microsoft Entra ID の基礎を確認する
- Microsoft Entra ID で Open ID Connect (OIDC) のサポートを確認する