MongoDB Atlas admite diversos métodos de autenticación para garantizar una seguridad robusta. Atlas requiere que todos los usuarios se autentiquen para acceder a la interfaz de usuario, las bases de datos y la API de administración de Atlas.
Nota
En este contexto, un "usuario" puede ser un ser humano o una aplicación. Nos referimos a los usuarios humanos como "Identidad de la Fuerza Laboral" y a las aplicaciones como "Identidad de la Carga de Trabajo".
Dos factores determinan los tipos de autenticación que se deben utilizar:
El tipo de identidad (humana o máquina)
El recurso al que la identidad necesita acceder. Este recurso puede ser uno de los siguientes: la interfaz de usuario de Atlas, la base de datos de Atlas o las API de Atlas.
Autenticación de la interfaz de usuario de Atlas
Usuarios de la fuerza laboral
Utilice restricciones de acceso IP y luego:
Usar Autenticación federada con un 2.0 proveedor de identidad SAML, como Okta, Microsoft Entra ID o Ping Identity, y
Utilice las credenciales de Atlas con autenticación multifactor (MFA). Siempre debe usar la forma más segura de MFA disponible, como una llave física o datos biométricos.
Usuarios de la carga de trabajo
Esto sólo se aplica a los usuarios de Workforce.
Autenticación de la base de datos Atlas
Usuarios de la fuerza laboral
Utilice Federación de identidad de la fuerza laboral.
Para entornos de desarrollo y pruebas, también puedes usar SCRAM. Considera creación de usuarios de bases de datos temporales con acceso a bases de datos justo a tiempo.
Usuarios de la carga de trabajo
Utilice uno de los siguientes:
Para entornos de desarrollo y prueba, también puede utilizar certificados X.509o SCRAM.
Autenticación de la API de Atlas
Nota
Esto se aplica tanto a los usuarios de Workforce como de Workload.
Utilice cuentas de servicio. Para entornos de desarrollo y pruebas, también puede usar cuentas de servicio o claves API.
Tipos de autenticación
Las siguientes secciones proporcionan detalles sobre los métodos de autenticación utilizados al acceder a la interfaz de usuario de Atlas, la base de datos de Atlas o la API de administración de Atlas.
Autenticación federada
La autenticación federada le permite gestionar toda la autenticación en la interfaz de usuario de Atlas en múltiples sistemas y aplicaciones a través de un proveedor de identidad central, lo que reduce la complejidad de la gestión de usuarios. Con la autenticación federada, puede aplicar políticas de seguridad como la complejidad de las contraseñas, la rotación de credenciales y... MFA dentro de las herramientas de su proveedor de identidad.
Para la interfaz de usuario Atlas, puede utilizar cualquier proveedor de identidad compatible con SAML, como Okta, Microsoft Entra ID o Ping Identity.
Federación de Identidad de la Fuerza Laboral
La Federación de Identidades de Workforce le permite gestionar toda la autenticación en la base de datos Atlas a través de su proveedor de identidad. Para obtener más información, consulte Configurar la Federación de Identidades de Workforce con OIDC.
Federación de identidad de carga de trabajo
La Federación de Identidades de Carga de Trabajo permite que las aplicaciones que se ejecutan en entornos de nube como Azure y Google Cloud se autentiquen con Atlas sin necesidad de administrar credenciales de usuario de base de datos independientes. Con la Federación de Identidades de Carga de Trabajo, puede administrar los usuarios de la base de datos Atlas mediante identidades administradas de Azure, cuentas de servicio de Google o cualquier 2.0servicio compatible con OAuth. Estos mecanismos de autenticación simplifican la administración y mejoran la seguridad al permitir el acceso sin contraseña a la base de datos Atlas.
Autenticación de roles de AWS IAM
También puede autenticarse mediante roles de AWS IAM. Para obtener más información, consulte Autenticación de AWS IAM.
Para obtener más información, consulte Configurar la federación de identidad de carga de trabajo con OAuth 2.0 y Configurar la autenticación federada.
Autenticación multifactor
Para cualquier usuario humano con acceso al plano de control de Atlas, se requiere MFA para mayor seguridad. Atlas admite los siguientes métodos de MFA como identificación secundaria:
Llaves de seguridad
biometría
Autenticadores OTP
Notificaciones push con Okta Verify
Correo electrónico
Nota
Si utiliza autenticación federada, la MFA se configura y administra en el IdP. Si utiliza credenciales de Atlas, la MFA se configura y administra dentro de Atlas. La MFA es necesaria al usar credenciales de Atlas.
Para obtener más información,consulte Administrar sus opciones de autenticación multifactor.
X.509 Certificados de cliente
Los certificados X.509 brindan la seguridad de TLS mutuo, haciéndolos aptos para entornos de staging y producción, y puedes utilizar tu propia autoridad certificadora con X.509. La desventaja de X.509 es que debes gestionar los certificados y la seguridad de estos certificados del lado de la aplicación, mientras que Workload Identity Federation permite acceso sin contraseña y una seguridad de la aplicación más sencilla.
Para obtener más información, consulte X..509
Autenticación de contraseña SCRAM
Los clústeres Atlas admiten la autenticación de contraseña SCRAM para la autenticación de usuarios, pero recomendamos SCRAM solo para su uso en entornos de desarrollo y prueba.
Si509 utiliza la autenticación X. o SCRAM, le recomendamos que utilice un administrador de secretos de terceros como HashiCorp Vaulto AWS Secrets Manager para generar y almacenar credenciales de bases de datos complejas.
Para obtener más información, consulte SCRAM.
Cuentas de servicio
Las cuentas de servicio utilizan OAuth, el estándar del2.0 sector, para autenticarse de forma segura con Atlas a través de la API de administración de Atlas. Recomendamos usar cuentas de servicio en lugar de claves de API siempre que sea posible, ya que ofrecen mayor seguridad mediante tokens de acceso de corta duración y la rotación de credenciales obligatoria.
Puede administrar el acceso programático a las cuentas de servicio mediante la interfaz de usuario de Atlas, la CLI de Atlas, la API de administración de Atlas y Terraform.
Claves de API
Las cuentas de servicio son el método de autenticación preferido. Atlas ofrece compatibilidad heredada con la autenticación basada en claves API para gestionar el acceso programático. Esta autenticación utiliza autenticación HTTP Digest para proteger las solicitudes.
Para mejorar aún más la seguridad y minimizar el riesgo de acceso no autorizado:
Siga las prácticas recomendadas para rotar las claves de API con regularidad. Para saber cómo rotar estas claves con HashiCorp Vault, por ejemplo, consulte la documentación de Hashicorp.
Utilice la lista de acceso IP para sus claves API. Para obtener más información,consulte "Requerir una lista de acceso IP para la API de administración de Atlas".
Para obtener más información, consulte Métodos de autenticación de la API de administración de Atlas.
Gestión de secretos
Recomendamos utilizar un gestor de secretos de terceros como HashiCorp Vault o AWS Secrets Manager para generar y almacenar credenciales de base de datos complejas. Un administrador de secretos puede generar credenciales de base de datos de forma dinámica basándose en los roles configurados para las bases de datos de Atlas.
Para obtener más información, consulte el blog Administrar secretos de bases de datos de MongoDB Atlas en HashiCorp Vault.
Implementaciones
Para conocer nuestras recomendaciones para implementaciones relacionadas con la autenticación, consulte Guía para organizaciones, proyectos y clústeres de Atlas.
Medidas de seguridad adicionales
Para mejorar aún más la seguridad y minimizar el riesgo de acceso no autorizado, considere estas medidas de seguridad adicionales:
Rotar los secretos de las cuentas de servicio antes de que caduquen.
Utilice una lista de acceso IP para sus cuentas de servicio.
Asigne el rol de Atlas con menos privilegios necesario para el propósito previsto de la cuenta de servicio para cumplir con el principio del mínimo privilegio.
Para obtener más información, consulte Descripción general de cuentas de servicio.