Overview
Esta página explica cómo configurar la autenticación y la autorización avanzadas para los usuarios de bases de datos en Atlas Data Federation. Esto incluye los métodos de autenticación disponibles y cómo administrar usuarios mediante la CLI de Atlas, la API de administración de Atlas y la interfaz de usuario de Atlas.
Nota
Atlas admite un máximo de 100 usuarios de base de datos por proyecto Atlas de forma predeterminada. Si necesita más de 100 usuarios de base de datos en un proyecto, puede usar API de administración de Atlas para aumentar el límite. Para obtener ayuda, contacte con el soporte de Atlas.
Acceso requerido
Para utilizar las configuraciones de usuario de base de datos avanzadas, debe tener Acceso Organization Owner, Project OwneroProject Database Access Adminen Atlas.
Autenticar usuarios de la base de datos
Atlas (+adf+) ofrece las siguientes formas de autenticación para los usuarios de la base de datos:
SCRAM es el método de autenticación por defecto de MongoDB. SCRAM requiere una contraseña para cada usuario.
La base de datos de autenticación para los usuarios autenticados mediante SCRAM es la base de datos admin.
Nota
De forma predeterminada, Atlas admite la autenticación SCRAM-SHA-256. Si creó un usuario antes de MongoDB 4.0, debe actualizar MongoDB 4.0 y sus contraseñas para generar credenciales SCRAM-SHA-256. Puede reutilizar las contraseñas existentes.
Los certificados X.509, también conocidos como “TLS mutuo” o “mTLS”, permiten la autenticación sin contraseña mediante el uso de un certificado confiable.
La base de datos de autenticación para los usuarios autenticados por X.509es la base de datos $external.
Si habilita la autorización LDAP, no podrá conectarse a sus clústeres con usuarios que se autentiquen con un certificado X. administrado por509 Atlas. Para habilitar LDAP y conexión a sus clústeres con509 usuarios X.,consulte Configurar509 certificados X. autoadministrados.
Puede crear un usuario de base de datos que utilice un IAM de AWSARN de usuario o rol para autenticación.
La base de datos de autenticación para los usuarios autenticados con AWS IAM es la base de datos $external.
La autenticación de IAM de AWS está disponible solo en clústeres que utilizan la versión 7.0 de MongoDB y posteriores.
Agregar nuevos usuarios a la base de datos
Un proyecto puede tener usuarios con diferentes métodos de autenticación.
No se puede cambiar el método de autenticación de un usuario después de crearlo. Para usar un método de autenticación alternativo, debe crear un nuevo usuario.
El Atlas CLI utiliza los siguientes comandos para crear nuevos usuarios de base de datos y certificados X.509. Las opciones que especifiques determinan el método de autenticación.
Para crear un usuario de base de datos para su proyecto usando Atlas CLI, ejecute el siguiente comando:
atlas dbusers create [builtInRole]... [options]
Para crear un nuevo certificado X.509 gestionado por Atlas para el usuario de base de datos especificado usando Atlas CLI, ejecute el siguiente comando:
atlas dbusers certs create [options]
Para aprender más sobre la sintaxis y los parámetros de los comandos anteriores, consulte la documentación de Atlas CLI para atlas dbusers create y atlas dbusers certs create.
Se puede agregar usuarios de base de datos a través de la API de administración de Atlas. Las opciones que se especifiquen determinan el método de autenticación. Para obtener más información, se debe consultar Crear un usuario de base de datos.
Selecciona un mecanismo de autenticación y sigue los pasos para crear un nuevo usuario de base de datos utilizando la interfaz de usuario de Atlas.
En Atlas, vaya a la Database & Network Access Página para su proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
La página Acceso a la base de datos y a la red se muestra.
Introduzca la información del usuario.
Bajo Password Authentication, hay dos campos de texto.
Introduce un nombre de usuario para el nuevo usuario en el campo de texto superior.
Introduzca una contraseña para el nuevo usuario en el campo de texto inferior.
Para usar una contraseña generada automáticamente por Atlas, haz clic en el botón Autogenerate Secure Password.
Asigna privilegios.
Selecciona los privilegios de usuario de base de datos. Puedes asignar privilegios al nuevo usuario de una o más de las siguientes maneras:
Seleccione un Built-in Role rol integrado en el menú desplegable. Puede seleccionar un rol integrado por usuario de base de datos dentro de la interfaz de usuario de Atlas. Si elimina la opción predeterminada, puede hacer clic en Add Built-in Role para seleccionar un nuevo rol integrado.
Si se tiene algún rol personalizado definido, se puede expandir la sección Custom Roles y seleccionar uno o más roles del menú desplegable Custom Roles. Se debe hacer clic en Add Custom Role para agregar más roles personalizados. También se puede hacer clic en el enlace Custom Roles para ver los roles personalizados del proyecto.
Expanda la Specific Privileges sección y seleccione uno o más privilegios del Specific Privileges menú desplegable. Haga clic Add Specific Privilege en para agregar más privilegios. Esto asigna al usuario privilegios específicos en bases de datos y colecciones individuales.
Atlas puede aplicar un rol con funcionalidad incorporada, múltiples roles personalizados y múltiples privilegios específicos a un único usuario de base de datos.
Para remover un rol o privilegio aplicado, haz clic en Delete junto al rol o privilegio que deseas borrar.
Nota
Atlas no muestra el icono de Delete junto a la selección de Built-in Role, Custom Role o Specific Privilege si solo se seleccionó una opción. Se puede borrar el rol o privilegio seleccionado una vez que se aplique otro rol o privilegio.
Para obtener más información sobre la autorización, consulta Control de acceso basado en roles y Roles incorporados en el Manual de MongoDB.
Especifique los recursos del proyecto a los que el usuario puede acceder.
Por defecto, los usuarios pueden acceder a todos los clústeres e instancias federadas de bases de datos del proyecto. Puedes restringir el acceso a clústeres específicos e instancias federadas de bases de datos haciendo lo siguiente:
Establece Restrict Access to Specific Clusters/Federated Database Instances en ON.
Seleccione los clústeres e instancias federadas de bases de datos para conceder acceso al usuario desde la lista de Grant Access To.
Guárdalo como usuario temporal.
Cambia Temporary User a On y elige un tiempo después del cual Atlas pueda borrar al usuario del menú desplegable Temporary User Duration. Puedes seleccionar uno de los siguientes períodos de tiempo para que el usuario exista:
6 horas
1 día
1 semana
En la pestaña Database Users, los usuarios temporales muestran el tiempo restante hasta que Atlas borre al usuario. Una vez que Atlas borra al usuario, cualquier cliente o aplicación que utilice las credenciales del usuario temporal pierde acceso al clúster.
En Atlas, ve a la página Database & Network Access de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
La página Acceso a la base de datos y a la red se muestra.
Introduzca la información del usuario.
Campo | Descripción | |
|---|---|---|
Common Name | El nombre común (CN) del usuario, protegido por el certificado TLS/SSL. Para más información, consulte la 2253RFC. Por ejemplo, si su nombre común es "Jane Doe", su organización es "MongoDB" y su país es "US", inserte lo siguiente en el campo Common Name: | |
User Privileges | Puede asignar roles de una de las siguientes maneras:
Para obtener más información sobre los privilegios integrados de Atlas, consulte Roles integrados. Para obtener más información sobre la autorización, consulta Control de acceso basado en roles y Roles incorporados en el Manual de MongoDB. |
En Atlas, ve a la página Database & Network Access de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
La página Acceso a la base de datos y a la red se muestra.
Asigna privilegios.
Selecciona los privilegios de usuario de base de datos. Puedes asignar privilegios al nuevo usuario de una o más de las siguientes maneras:
Seleccione un Built-in Role rol integrado en el menú desplegable. Puede seleccionar un rol integrado por usuario de base de datos dentro de la interfaz de usuario de Atlas. Si elimina la opción predeterminada, puede hacer clic en Add Built-in Role para seleccionar un nuevo rol integrado.
Si se tiene algún rol personalizado definido, se puede expandir la sección Custom Roles y seleccionar uno o más roles del menú desplegable Custom Roles. Se debe hacer clic en Add Custom Role para agregar más roles personalizados. También se puede hacer clic en el enlace Custom Roles para ver los roles personalizados del proyecto.
Expanda la Specific Privileges sección y seleccione uno o más privilegios del Specific Privileges menú desplegable. Haga clic Add Specific Privilege en para agregar más privilegios. Esto asigna al usuario privilegios específicos en bases de datos y colecciones individuales.
Atlas puede aplicar un rol con funcionalidad incorporada, múltiples roles personalizados y múltiples privilegios específicos a un único usuario de base de datos.
Para remover un rol o privilegio aplicado, haz clic en Delete junto al rol o privilegio que deseas borrar.
Nota
Atlas no muestra el icono de Delete junto a la selección de Built-in Role, Custom Role o Specific Privilege si solo se seleccionó una opción. Se puede borrar el rol o privilegio seleccionado una vez que se aplique otro rol o privilegio.
Para obtener más información sobre la autorización, consulta Control de acceso basado en roles y Roles incorporados en el Manual de MongoDB.
Especifique los recursos del proyecto a los que el usuario puede acceder.
Por defecto, los usuarios pueden acceder a todos los clústeres e instancias federadas de bases de datos del proyecto. Puedes restringir el acceso a clústeres específicos e instancias federadas de bases de datos haciendo lo siguiente:
Establece Restrict Access to Specific Clusters/Federated Database Instances en ON.
Seleccione los clústeres e instancias federadas de bases de datos para conceder acceso al usuario desde la lista de Grant Access To.
Guárdalo como usuario temporal.
Cambia Temporary User a On y elige un tiempo después del cual Atlas pueda borrar al usuario del menú desplegable Temporary User Duration. Puedes seleccionar uno de los siguientes períodos de tiempo para que el usuario exista:
6 horas
1 día
1 semana
En la pestaña Database Users, los usuarios temporales muestran el tiempo restante hasta que Atlas borre al usuario. Una vez que Atlas borra al usuario, cualquier cliente o aplicación que utilice las credenciales del usuario temporal pierde acceso al clúster.
Ejemplo de cadena de conexión de AWS IAM
Conectarse a Atlas usando la autenticación de AWS IAM con el mongosh requiere la versión de shell v0.9.0 o superior.
Considere lo siguiente:
Se deben usar las credenciales de AWS IAM, usando la ID de clave de acceso como nombre de usuario y la clave secreta como contraseña.
El parámetro del query
authSourcees$external, codificado en URL como%24external.El parámetro de query
authMechanismesMONGODB-AWS.Ejemplo
mongosh "mongodb+srv://<atlas-host-name>/test?authSource=%24external&authMechanism=MONGODB-AWS" --username <access-key-id> --password <secret-key>
En Atlas, ve a la página Database & Network Access de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
La página Acceso a la base de datos y a la red se muestra.
Abrir el cuadro de diálogo Add New Database User or Group.
Haga clic en Add New Database User or Group.
Nota
Hasta que se aplique el proveedor de identidad de Workforce a Atlas, este botón dice Add New Database User.
Seleccione Federated Auth.
En la sección Authentication Method, seleccione Federated Auth.
Nota
Hasta que habilites Workforce proveedor de identidad para tu organización, no podrás seleccionar esta casilla.
Selecciona el proveedor de identidad y el identificador
a. En la sección Select Identity Provider, seleccionar un proveedor de identidad OIDC configurado.
Especifica el identificador de usuario o el identificador de grupo asociado con tu proveedor de identidad de Workforce configurado.
Nota
Para los usuarios de Azure Entra ID, este valor se asigna al ID de objeto de su grupo de usuarios de Azure en lugar del nombre del grupo de usuarios.
Asigna privilegios de usuario o de grupo.
Para asignar privilegios al nuevo usuario o grupo, realice una o más de las siguientes tareas:
Seleccione un rol integrado en el Built-in Role menú desplegable.
Puede seleccionar un rol con funcionalidad incorporada por grupo de base de datos en la interfaz de usuario de Atlas.
Si borra la opción por defecto, puede hacer clic en Add Built-in Role para seleccionar un nuevo rol con funcionalidad incorporada.
Selecciona o agrega roles personalizados.
Si tiene roles personalizados definidos, puede expandir la sección Custom Roles y seleccionar uno o más roles del menú desplegable Custom Roles.
Haga clic Add Custom Role para añadir más roles personalizados.
Se debe hacer clic en el enlace Custom Roles para ver los roles personalizados del proyecto.
Añadir privilegios.
Expanda la sección Specific Privileges y seleccione uno o más privilegios del menú desplegable de Specific Privileges.
Haga clic en Add Specific Privilege para agregar más privilegios. Esto asigna al grupo privilegios específicos en bases de datos y colecciones individuales.
Remueve un rol o privilegio aplicado.
- Haz clic en Delete junto al
- rol o privilegio que deseas borrar.
Nota
Atlas no muestra el icono de Delete junto a la selección de Built-in Role, Custom Role o Specific Privilege si solo se seleccionó una opción. Se puede borrar el rol o privilegio seleccionado una vez que se aplique otro rol o privilegio.
Atlas puede aplicar un rol incorporado, varios roles personalizados y diversos privilegios específicos a un grupo de bases de datos.
Para obtener más información sobre la autorización, consulte Control de accesos en función del rol y Roles con funcionalidad incorporada en el manual de MongoDB.
Especifica los recursos del proyecto a los que el usuario o grupo pueden acceder.
Por defecto, los grupos pueden acceder a todos los clústeres e instancias federadas de bases de datos en el proyecto. Para restringir el acceso a clústeres específicos e instancias federadas de bases de datos:
Establece Restrict Access to Specific Clusters/Federated Database Instances en On.
Selecciona los clústeres e instancias federadas de bases de datos para conceder acceso al grupo desde la lista de Grant Access To.
Guarda como usuario o grupo temporal.
Cambia Temporary User o Temporary Group a On y elige un tiempo después del cual Atlas puede borrar al usuario o grupo del menú desplegable Temporary User Duration o Temporary Group Duration. Puedes seleccionar uno de los siguientes períodos de tiempo para que el grupo exista:
6 horas
1 día
1 semana
En la pestaña Database Users, los usuarios o grupos temporales muestran el tiempo restante hasta que Atlas borre a los usuarios o al grupo. Después de que Atlas borre al usuario o grupo, cualquier cliente o aplicación que utilice las credenciales temporales del usuario o grupo perderá acceso al clúster.
Nota
A partir de MongoDB,8.0 la autenticación y autorizaciónLDAP está obsoleta. Esta función está disponible y seguirá funcionando sin cambios durante la vida útil de MongoDB.8 LDAP se eliminará en una futura versión principal.
Para más detalles, consulta Obsolescencia de LDAP.
Siga los pasos para configurar la autenticación con LDAP, luego siga los pasos para agregar un usuario o grupo de base de datos LDAP.
Consulta usuarios de base de datos y certificados
Ver usuarios de base de datos
Para listar todos los usuarios de las bases de datos de Atlas para su proyecto usando Atlas CLI, ejecute el siguiente comando:
atlas dbusers list [options]
Para devolver los detalles de un único usuario de base de datos Atlas en el proyecto que se especifique usando Atlas CLI, se debe ejecutar el siguiente comando:
atlas dbusers describe <username> [options]
Para aprender más sobre la sintaxis y los parámetros de los comandos anteriores, consulte la documentación de Atlas CLI para atlas dbusers list y atlas dbusers describe.
Ver certificados X.509 para un usuario de base de datos
Para listar todos los certificados gestionados por Atlas y no caducados para un usuario de base de datos usando Atlas CLI, ejecute el siguiente comando:
atlas dbusers certs list <username> [options]
Para aprender más sobre la sintaxis y los parámetros de los comandos, consulte la documentación de Atlas CLI para atlas dbusers certs list.
Para ver los usuarios de la base de datos de Atlas usando la API de Administración de Atlas, consulta Ver todos.
Para ver los usuarios de la base de datos Atlas y los certificados X.509 en la interfaz de usuario de Atlas:
En Atlas, ve a la página Database & Network Access de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
La página Acceso a la base de datos y a la red se muestra.
Modifica usuarios de bases de datos
Para actualizar un usuario de base de datos de su proyecto usando Atlas CLI, ejecute el siguiente comando:
atlas dbusers update <username> [options]
Para obtener más información sobre la sintaxis y los parámetros del comando, consulte la documentación de Atlas CLI para atlas dbusers update.
Puedes actualizar usuarios de base de datos a través de la API de administración de Atlas. Para obtener más información, ve Update One.
Para modificar usuarios existentes de un proyecto de Atlas:
En Atlas, ve a la página Database & Network Access de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
La página Acceso a la base de datos y a la red se muestra.
Modifique un usuario existente.
Si aún no aparece, haz clic en la pestaña Database Users.
Haga clic en Edit para el usuario que desea modificar.
Puede modificar los privilegios y los detalles de autenticación asignados al usuario. No puede modificar el método de autenticación.
La siguiente tabla describe lo que puedes hacer para cada usuario:
Tipo de usuarioAcciónUsuarios autenticados por SCRAM
Edite la contraseña de un usuario.
Usuarios autenticados mediante certificado X.509
Descargue un nuevo certificado.
Usuarios de AWS IAM
Modifique los privilegios de acceso a la base de datos.
Usuarios temporales
Modifica el período de tiempo en el que el usuario existe o conviértelo en un usuario permanente, siempre que la fecha de vencimiento del usuario no haya pasado.
Nota
No puedes convertir un usuario permanente en un usuario temporal. Si cambias un usuario temporal a un usuario permanente, no podrás volver a hacerlo temporal de nuevo.
Haga clic en Update User para guardar los cambios.
Borra usuarios de base de datos
Para borrar un usuario de base de datos de su proyecto usando Atlas CLI, ejecute el siguiente comando:
atlas dbusers delete <username> [options]
Para obtener más información sobre la sintaxis de comandos y los parámetros, consulte la documentación de Atlas CLI para atlas dbusers delete.
Se pueden borrar usuarios de base de datos a través de la API de administración de Atlas. Para obtener más información, se debe consultar Borrar uno.
Para borrar usuarios existentes de un proyecto de Atlas utilizando la interfaz de usuario de Atlas:
En Atlas, ve a la página Database & Network Access de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
La página Acceso a la base de datos y a la red se muestra.