Docs Menu
Docs Home
/
Desarrollo
/
Autenticación
Docs Home
/
Desarrollo
/
Autenticación
Docs Home
/
Desarrollo
/
Autenticación

Configurar la autenticación y autorización de usuarios con LDAP

Nota

Comenzando con MongoDB 8.0, La autenticación y autorizaciónLDAP está obsoleta. Esta función está disponible y seguirá funcionando sin cambios durante la vida útil de MongoDB. 8 LDAP se eliminará en una futura versión principal.

Para más detalles, véase Desuso de LDAP.

Nota

Esta característica no está disponible para ninguna de las siguientes implementaciones:

  • M0 Clústeres gratuitos

  • Clústeres Flex

Para obtener más información, consulte Límites.

Atlas permite gestionar la autenticación y autorización de usuarios de todos los clientes MongoDB mediante su propio servidorLDAP (Protocolo Ligero de Acceso a Directorios) sobre TLS. Una única configuración de LDAPS (LDAP sobre TLS) se aplica a todos los clústeres de un proyecto.

Si habilita la autorización de usuarios con LDAP, puede crear grupos LDAP en la admin base de datos asignándolos a roles de MongoDB en sus bases de datos Atlas. Para usar los grupos LDAP eficazmente, cree proyectos adicionales dentro de Atlas para controlar el acceso a implementaciones específicas en su organización, como crear proyectos Atlas separados para entornos de desarrollo y producción. A continuación, puede asignar un grupo LDAP a un rol en el proyecto Atlas para proporcionar acceso a la implementación deseada.

Nota

Cuando habilitas la autorización de usuarios y un usuario LDAP no pertenece a ningún grupo LDAP, Atlas no asigna ningún rol de base de datos al usuario. Cuando habilitas la autenticación de usuarios y deshabilitas la autorización de usuarios, Atlas asigna roles de base de datos de MongoDB al usuario LDAP.

Si tiene varios departamentos con sus propias necesidades de facturación, configuraciones de alertas y miembros del proyecto, considere crear un nuevo conjunto de proyectos o una nueva organización para cada departamento o unidad de negocio.

Nota

La explicación de LDAP queda fuera del alcance de la documentación de MongoDB. Consulte el RFC.4515y RFC 4516 o consulte su documentación LDAP preferida.

Acceso requerido

Para administrar usuarios o grupos LDAP, debe Organization Owner tener acceso o Project Owner a Atlas.

Requisitos previos

Debe cumplir los siguientes requisitos previos para administrar la autenticación y autorización de usuarios mediante LDAP en Atlas:

  • Clúster Atlas que utiliza MongoDB 7.0 o posterior.

  • ServidorLDAP que usa TLS al que sus clústeres Atlas pueden acceder a través de la red mediante una conexión de peering VPC o VNet o las direcciones IP públicas de los nodos del clúster.

  • Las membresías de gruposLDAP se integran como un atributo para cada usuario en la entrada LDAP solo para autorización de usuario.

Recomendación

Para que su servicio LDAPS acceda a los clústeres de Atlas, MongoDB recomienda una de dos configuraciones:

Usando una VPC o VNet:

  1. Ejecute su servidor LDAP en una VPC o VNet.

  2. Establezca una conexión de peering con su proyecto Atlas.

  3. Utilice un FQDN público que se resuelva en la dirección IP privada de su servidor LDAP.

Usando su centro de datos:

  1. Ejecute su servidor LDAP con un FQDN público que se resuelva en una dirección IP pública.

  2. Configure el servidor LDAP para permitir el acceso entrante desde las direcciones IP públicas de los nodos del clúster Atlas.

Considerations

Al habilitar la autenticación y autorización LDAP, tenga en cuenta lo siguiente:

Limitaciones

No se puede utilizar la autenticación LDAP y SCRAM para el mismo usuario de base de datos.

No se puede usar la autenticación OIDC cuando la autorizacion LDAP está habilitada. Cuando se habilita la autorización LDAP, el servidor LDAP gestiona todas las decisiones de autorización, incluidas cualquier mecanismo externo de autenticación. Por lo tanto, si intentas conectarte a Atlas utilizando OIDC, la conexión falla. Debes desactivar la autorización LDAP para utilizar la autenticación OIDC.

Conflictos entre la autorización LDAP y los usuarios X.509

Si habilita la autorización LDAP, no podrá conectarse a sus clústeres con usuarios que se autentiquen con un certificado X.509 administrado por Atlas.

Tras habilitar la autorización LDAP,podrá conectarse a sus clústeres con usuarios que se autentiquen con509 un certificado X. autoadministrado. Sin embargo, el nombre común del usuario en su509 certificado X. debe coincidir con el nombre completo de un usuario autorizado para acceder a su base de datos mediante LDAP.

Nombres de usuario

Atlas utiliza el nombre distintivo (DN) completo de los usuarios en su servidor LDAP como nombre de usuario de Atlas. Por ejemplo, un usuario LDAP de ejemplo llamado ralph tiene el siguiente nombre de usuario en Atlas:

cn=ralph,cn=Users,dc=aws-atlas-ldap-01,dc=myteam,dc=com

Cadena de conexión

Si el administrador habilita la autenticación de usuario o tanto la autenticación como la autorización de usuario con LDAP, los usuarios de la base de datos deben anular los siguientes parámetros en la cadena de conexión para sus clientes.

  • authSource debe ser $external

  • authenticationMechanism debe ser PLAIN

Ejemplo

La siguiente cadena de conexión para autentica mongosh a un usuario LDAP rob llamado:

mongosh "mongodb+srv://cluster0-tijis.mongodb.net/test?authSource=%24external" \
  --authenticationMechanism PLAIN \
  --username cn=rob,cn=Users,dc=ldaps-01,dc=myteam,dc=com

Para copiar la cadena de conexión:

1

En Atlas, vaya a la Clusters Página para su proyecto.

  1. Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Clusters en la sección Database.

La página de clústeres se muestra.

2

Localice la cadena de conexión.

Haga clic en Connect.

3

Editar la cadena de conexión.

Edita la string con tu User DN y la contraseña.

Nota

Si sus contraseñas, nombres de bases de datos o cadenas de conexión contienen caracteres URI reservados, debe reemplazar dichos caracteres. Por ejemplo, si su contraseña es @bc123, debe reemplazar el carácter @ al especificar la contraseña en la cadena de conexión, como %40bc123. Para obtener más información, consulte los Caracteres especiales en la contraseña de la cadena de conexión.

Uso de direcciones IP públicas

Puede usar direcciones IP públicas que hagan referencia a otras direcciones IP internas o privadas mediante la Traducción de Direcciones de Red para permitir el tráfico de Atlas a su servidor LDAP. Si lo hace, tenga en cuenta que ciertas actividades activan un cambio en las direcciones IP públicas del clúster de Atlas.

Si permitió el acceso al servidor LDAP basado en direcciones IP públicas, los cambios en la dirección IP pública del clúster Atlas impedirán el acceso LDAP. Para restaurar el acceso LDAP, agregue las nuevas direcciones IP públicas del clúster Atlas a la lista de acceso LDAP.

Procedimientos

Configurar la autenticación con LDAP

Nota

Puede utilizar el mismo comando CLI de Atlas para configurar la autenticación LDAP y la autorización LDAP.

Para guardar una configuración LDAP para el proyecto que especifique mediante la CLI de Atlas, ejecute el siguiente comando:

atlas security ldap save [options]

Para obtener más información sobre la sintaxis y los parámetros del comando, consulte la documentación de Atlas CLI para atlas security ldap save.

Utilice el siguiente procedimiento para configurar la autenticación de usuarios con LDAP para todos los clústeres de un proyecto.

1

En Atlas, ve a la página Advanced de tu proyecto.

  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

  4. En la barra lateral, haga clic en Advanced.

    La página Avanzada se muestra.

2

Cambie el botón junto LDAP Authentication a On a.

Nota

Es posible que se apliquen costos adicionales al habilitar esta función.Consulte Seguridad avanzada.

3

Ingrese los detalles del servidor y vincule las credenciales para todos sus servidores LDAP en el Configure Your LDAP Server panel.

Puedes enumerar varios servidores separados por comas. No puedes usar puertos diferentes.

4

Ingrese los certificados emitidos por una autoridad de certificación (CA) para sus servidores LDAP, separados por comas, en el CA Root Certificate campo.

Puede proporcionar certificados autofirmados.

5

Haga clic en Verify and Save.

Espere a que Atlas implemente los cambios. Atlas verifica que sus clústeres puedan conectarse, autenticarse y consultar sus servidores LDAP utilizando la configuración proporcionada.

Configurar autorización

Nota

Puede utilizar el mismo comando CLI de Atlas para configurar la autenticación LDAP y la autorización LDAP.

Para guardar una configuración LDAP para el proyecto que especifique mediante la CLI de Atlas, ejecute el siguiente comando:

atlas security ldap save [options]

Para obtener más información sobre la sintaxis y los parámetros del comando, consulte la documentación de Atlas CLI para atlas security ldap save.

Utilice el siguiente procedimiento para configurar la autorización de usuarios con LDAP para todos los clústeres de un proyecto.

Importante

  • Debe habilitar la autenticación con LDAP antes de habilitar la autorización.

  • Cuando habilita y configura la autorización LDAP, los usuarios de la base de datos que solo estén configurados para la autenticación LDAP ya no podrán acceder a las bases de datos.

1

En Atlas, ve a la página Advanced de tu proyecto.

  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

  4. En la barra lateral, haga clic en Advanced.

    La página Avanzada se muestra.

2

Cambie el botón junto LDAP Authorization a On a.

3

Ingrese los detalles del servidor y vincule las credenciales para su servidor LDAP en el Configure Your LDAP Server panel.

4

Introduzca una plantilla de consulta Query Template en.

Cuando un usuario intenta realizar una acción, Atlas ejecuta la plantilla de consulta LDAP para obtener los grupos LDAP a los que pertenece el usuario autenticado. Atlas permite la acción si la consulta devuelve al menos un grupo autorizado para realizarla. Atlas no permite la acción si la consulta no devuelve ningún grupo autorizado para realizarla.

Atlas sustituye el nombre de usuario autenticado en el marcador de posición {USER} cuando ejecuta la query. La consulta es relativa al host especificado en Server Hostname.

El formato de la consulta debe cumplir con RFC.4515

Si no proporciona una plantilla de consulta, Atlas aplica el valor predeterminado: {USER}?memberOf?base.

5

Haga clic en Verify and Save.

Espere a que Atlas implemente los cambios. Atlas verifica que sus clústeres puedan conectarse, autenticarse y consultar su servidor LDAP utilizando la configuración proporcionada.

Agregar un usuario o grupo de base de datos LDAP

Para crear un usuario de base de datos para su proyecto usando Atlas CLI, ejecute el siguiente comando:

atlas dbusers create [builtInRole]... [options]

Para obtener más información sobre la sintaxis y los parámetros del comando, consulte la documentación de la CLI de Atlas para atlas dbusers create.

Después de configurar la autorización con LDAP, siga estos pasos para crear un usuario o grupo de base de datos LDAP:

1

En Atlas, ve a la página Database & Network Access de tu proyecto.

  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

La página Acceso a la base de datos y a la red se muestra.

2

Abrir el cuadro de diálogo Add New Database User.

  1. Si aún no se muestra, haz clic en la pestaña Database Users.

  2. Haga clic en Add New Database User.

3

Seleccione LDAP.

En la sección Authentication Method de la ventana modal Add New Database User, selecciona la casilla etiquetada LDAP.

Nota

Si no ve una opción LDAP, debe configurar la autorización con LDAP.

4

Seleccione el tipo de LDAP.

En LDAP Type, seleccione LDAP User para un solo usuario o LDAP Group para un grupo LDAP.

5

Introduzca la cadena de autenticación LDAP.

Introduzca la cadena de autenticación para el usuario LDAP o el grupo LDAP.

Ejemplo

Para el usuario LDAP llamado myUser en el proyecto llamado projectName, ingrese lo siguiente:

cn=myUser,ou=projectName,dc=com

Si habilita la autorización LDAP, podrá crear usuarios LDAP, pero no podrán acceder a sus clústeres. Agregue un grupo LDAP para acceder a los clústeres con la autorización LDAP habilitada.

6

Asigna privilegios.

Selecciona los privilegios de usuario de base de datos. Puedes asignar privilegios al nuevo usuario de una o más de las siguientes maneras:

  • Seleccione un Built-in Role rol integrado en el menú desplegable. Puede seleccionar un rol integrado por usuario de base de datos dentro de la interfaz de usuario de Atlas. Si elimina la opción predeterminada, puede hacer clic en Add Built-in Role para seleccionar un nuevo rol integrado.

  • Si se tiene algún rol personalizado definido, se puede expandir la sección Custom Roles y seleccionar uno o más roles del menú desplegable Custom Roles. Se debe hacer clic en Add Custom Role para agregar más roles personalizados. También se puede hacer clic en el enlace Custom Roles para ver los roles personalizados del proyecto.

  • Expanda la Specific Privileges sección y seleccione uno o más privilegios del Specific Privileges menú desplegable. Haga clic Add Specific Privilege en para agregar más privilegios. Esto asigna al usuario privilegios específicos en bases de datos y colecciones individuales.

Atlas puede aplicar un rol con funcionalidad incorporada, múltiples roles personalizados y múltiples privilegios específicos a un único usuario de base de datos.

Para remover un rol o privilegio aplicado, haz clic en Delete junto al rol o privilegio que deseas borrar.

Nota

Atlas no muestra el icono de Delete junto a la selección de Built-in Role, Custom Role o Specific Privilege si solo se seleccionó una opción. Se puede borrar el rol o privilegio seleccionado una vez que se aplique otro rol o privilegio.

Para obtener más información sobre la autorización, consulta Control de acceso basado en roles y Roles incorporados en el Manual de MongoDB.

7

Especifique los recursos del proyecto a los que el usuario puede acceder.

Por defecto, los usuarios pueden acceder a todos los clústeres e instancias federadas de bases de datos del proyecto. Puedes restringir el acceso a clústeres específicos e instancias federadas de bases de datos haciendo lo siguiente:

  1. Establece Restrict Access to Specific Clusters/Federated Database Instances en ON.

  2. Seleccione los clústeres e instancias federadas de bases de datos para conceder acceso al usuario desde la lista de Grant Access To.

8

Guardar como usuario temporal o grupo temporal.

  1. Alterne Temporary User o Temporary Group a On.

  2. Seleccione el tiempo tras el cual Atlas puede eliminar al usuario o grupo en el menú desplegable Temporary User Duration o Temporary Group Duration. Puede seleccionar uno de los siguientes periodos de existencia del usuario o grupo:

    • 6 horas

    • 1 día

    • 1 semana

En la pestaña Database Users, los usuarios y grupos temporales muestran el tiempo restante hasta que Atlas los elimine. Una vez que Atlas los elimine, cualquier cliente o aplicación que use sus credenciales perderá el acceso al clúster.

9

Haga clic Add User en Add Group o.

Ver la configuración de LDAP

Para devolver los detalles de una configuración de LDAP usando la CLI de Atlas, ejecuta el siguiente comando:

atlas security ldap get [options]

Para obtener más información sobre la sintaxis y los parámetros del comando, consulte la documentación de Atlas CLI para atlas security ldap get.

Para ver su configuración LDAP actual mediante la interfaz de usuario de Atlas:

1

En Atlas, ve a la página Advanced de tu proyecto.

  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

  4. En la barra lateral, haga clic en Advanced.

    La página Avanzada se muestra.

2

Cambie el botón junto LDAP Authentication a On a.

Atlas muestra su configuración de autenticación LDAP.

Para ver la configuración de autorización LDAP, cambie el botón junto LDAP Authorization a On a. Atlas muestra la configuración de autorización LDAP.

Deshabilitar la configuración LDAP

Nota

Puede utilizar el mismo comando CLI de Atlas para deshabilitar las configuraciones de autenticación LDAP y las configuraciones de autorización LDAP.

Para eliminar una configuración LDAP mediante la CLI de Atlas, ejecute el siguiente comando:

atlas security ldap delete [options]

Para obtener más información sobre la sintaxis y los parámetros del comando, consulte la documentación de Atlas CLI para atlas security ldap delete.

Para deshabilitar su configuración LDAP actual mediante la interfaz de usuario de Atlas:

1

En Atlas, ve a la página Advanced de tu proyecto.

  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

  4. En la barra lateral, haga clic en Advanced.

    La página Avanzada se muestra.

2

Cambie el botón junto LDAP Authentication a OFF a.

Atlas desactiva tus configuraciones de autenticación de LDAP y tus configuraciones de autorizacion LDAP.

Para deshabilitar solo la autorización LDAP, cambie el botón junto LDAP Authorization a OFF a. Atlas deshabilitará la configuración de autorización LDAP.

Tutoriales para proveedores LDAP de terceros

Utilice los siguientes tutoriales para configurar Atlas para autenticar y autorizar usuarios de proveedores LDAP de terceros:

Volver

AWS IAM

Next

Microsoft Entra ID DS

En esta página