Overview
Aprenda sobre la configuración avanzada de autenticación y autorización para usuarios de bases de datos en Atlas Data Federation, incluidos los métodos de autenticación disponibles. Puede gestionar usuarios con Atlas CLI, Atlas Administration API y la interfaz de usuario de Atlas.
Nota
Atlas admite un máximo de 100 usuarios de base de datos por proyecto de Atlas por defecto. Si necesitas más de 100 usuarios de base de datos en un proyecto, puedes utilizar la API de Administración de Atlas para aumentar el límite. Para obtener asistencia, ponte en contacto con Soporte de Atlas.
Acceso requerido
Para usar las configuraciones avanzadas de usuarios de bases de datos, debes tener acceso a Organization Owner, Project Owner o Project Database Access Admin en Atlas.
Acciones de la base de datos
Utilice Atlas CLI, Atlas Administration API o Atlas Interfaz de Usuario para gestionar usuarios de base de datos para Atlas Data Federation.
Autenticar usuarios de Base de Datos
Atlas Data Federation ofrece las siguientes formas de autenticación para los usuarios de bases de datos:
Contraseña: SCRAM es el método de autenticación por defecto de MongoDB. SCRAM requiere una contraseña para cada usuario.
La base de datos de autenticación para los usuarios autenticados mediante SCRAM es la base de datos
admin.Nota
Por defecto, Atlas admite la autenticación SCRAM-SHA-256. Si se creó un usuario antes de MongoDB 4.0, debe actualizar MongoDB 4.0 y actualizar sus contraseñas para generar credenciales SCRAM-SHA-256. Puedes reutilizar contraseñas existentes.
Cuándo usar SCRAM:
Puedes usar la autenticación SCRAM para usuarios humanos y usuarios de aplicaciones. Para los entornos de nivel inferiores, SCRAM es un método de autenticación adecuado. Para los entornos de producción y superiores, sigue las mejores prácticas de seguridad para mantener los secretos seguros y a corto plazo, como la integración con soluciones de Gestión de Acceso Privilegiado (PAM).
X.509 Certificados: Los certificados X.509, también conocidos como “TLS mutuo” o “mTLS”, permiten la autenticación sin contraseña mediante el uso de un certificado confiable.
La base de datos de autenticación para los usuarios autenticados por X.509es la base de datos
$external.Si activas la autorizacion LDAP, no podrás conectarte a tus clústeres con usuarios que se autentiquen con un certificado X.509 gestionado por Atlas. Para activar LDAP y conectarte a tus clústeres con usuarios de X.509, consulta Configurar certificados autogestionados de X.509.
Cuándo usar X.509:
La autenticación X.509 es adecuada para el acceso seguro a la carga de trabajo cuando la federación de identidades de la carga de trabajo (OIDC) o la autenticación de AWS IAM no son factibles, o cuando se requiere autenticación mutua.
OIDC: La autenticación de OpenID Connect (OIDC) permite una autenticación sin contraseña ni secretos mediante el uso de proveedores de identidad externos. Atlas admite los siguientes tipos de autenticación OIDC:
Federación de Identidad de la Fuerza Laboral para principales humanos como empleados, socios y contratistas.
Federación de identidades de cargas de trabajo para aplicaciones que usan identidades programáticas externas como Principios de Servicio de Azure, Identidades Gestionadas de Azure y Cuentas de Servicio de Google.
La base de datos de autenticación para usuarios autenticados por OIDC es la base de datos
$external.La autenticación OIDC está disponible solo en clústeres que utilizan MongoDB versión 7.0 y superiores.
Cuándo usar OIDC:
Para los/as usuarios/as humanos/as, recomendamos el uso de la Federación de Identidad de Workforce con OIDC.
Para los usuarios de aplicaciones, recomendamos utilizar Workload Identity Federation con OIDC para aplicaciones que se ejecutan en GCP o Azure.
AWS IAM: Puedes crear un usuario de base de datos que use un AWS IAM Usuario o Rol ARN para autenticación.
La base de datos de autenticación para los usuarios autenticados con AWS IAM es la base de datos
$external.Cuándo usar AWS IAM:
Recomendamos que use la autenticación de AWS IAM con roles de IAM para los usuarios de aplicaciones que funcionan en AWS.
Agregar nuevos usuarios de base de datos
Un proyecto puede tener usuarios con diferentes métodos de autenticación.
El método de autenticación de un usuario se fija en el momento de la creación. Para utilizar un método de autenticación diferente, cree un nuevo usuario.