Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/
Desarrollo
/
Autenticación
Docs Home
/
Desarrollo
/
Autenticación
Docs Home
/
Desarrollo
/
Autenticación

Configurar la autenticación y autorización de usuarios con LDAP

Nota

Comenzando con MongoDB 8.0, La autenticación y autorización LDAP está obsoleta. La funcionalidad está disponible y seguirá funcionando sin cambios durante toda la vida útil de MongoDB 8. LDAP será removido en una próxima versión importante.

Para obtener más detalles, consulte Desuso de LDAP.

Nota

Esta característica no está disponible para ninguna de las siguientes implementaciones:

  • Clústeres gratuitos

  • Clústeres Flex

Para aprender más, Límites.

Atlas permite gestionar la autenticación y autorización de usuarios de todos los clientes MongoDB mediante su propio servidorLDAP (Protocolo Ligero de Acceso a Directorios) sobre TLS. Una única configuración de LDAPS (LDAP sobre TLS) se aplica a todos los clústeres de un proyecto.

Si habilitas la autorización de usuarios con LDAP, puedes crear grupos LDAP en el admin base de datos mediante la asignación de los grupos LDAP a los roles de MongoDB en tus bases de datos de Atlas. Para utilizar eficazmente los grupos de LDAP, crea proyectos adicionales dentro de Atlas para controlar el acceso a implementaciones específicas en tu organización, como crear proyectos de Atlas separados para los entornos de desarrollo y producción. Luego puedes asignar un grupo LDAP a un rol en el proyecto Atlas para proporcionar acceso a la implementación deseada.

Nota

Cuando habilitas la autorización de usuarios y un usuario LDAP no pertenece a ningún grupo LDAP, Atlas no asigna ningún rol de base de datos al usuario. Cuando habilitas la autenticación de usuarios y deshabilitas la autorización de usuarios, Atlas asigna roles de base de datos de MongoDB al usuario LDAP.

Si tienes varios departamentos con sus propias necesidades de facturación, configuraciones de alertas y miembros de proyectos, considera crear un nuevo conjunto de proyectos o una nueva organización para cada departamento o unidad empresarial.

Nota

Una explicación de LDAP está fuera del alcance de la documentación de MongoDB. Por favor, revisa RFC 4515y RFC 4516 o consulte su documentación LDAP preferida.

Acceso requerido

Para administrar usuarios o grupos de LDAP, debes tener acceso Organization Owner o Project Owner a Atlas.

Requisitos previos

Debe cumplir con los siguientes prerrequisitos para gestionar la autenticación y autorización de usuario utilizando LDAP en Atlas:

  • Clúster de Atlas utilizando MongoDB 7.0 o posterior.

  • ServidorLDAP que usa TLS al que sus clústeres Atlas pueden acceder a través de la red mediante una conexión de peering VPC o VNet o las direcciones IP públicas de los nodos del clúster.

  • Las membresías de gruposLDAP se integran como un atributo para cada usuario en la entrada LDAP solo para autorización de usuario.

Recomendación

Para que su servicio LDAPS acceda a los clústeres de Atlas, MongoDB recomienda una de dos configuraciones:

Usar una VPC o una VNet:

  1. Ejecute su servidor LDAP en una VPC o VNet.

  2. Establezca una conexión de peering con su proyecto Atlas.

  3. Utiliza un FQDN público que resuelva a la dirección IP privada de tu servidor LDAP.

Utilizando su centro de datos:

  1. Ejecutar su LDAP servidor con un FQDN público que resuelva a una dirección IP pública.

  2. Configura el servidor LDAP para permitir el acceso entrante desde las direcciones IP públicas de los nodos del clúster Atlas.

Considerations

Al habilitar la autenticación y autorización LDAP, tenga en cuenta lo siguiente:

Limitaciones

No puede usar tanto la autenticación LDAP como SCRAM para el mismo usuario de base de datos.

No se puede usar la autenticación OIDC cuando la autorizacion LDAP está habilitada. Cuando se habilita la autorización LDAP, el servidor LDAP gestiona todas las decisiones de autorización, incluidas cualquier mecanismo externo de autenticación. Por lo tanto, si intentas conectarte a Atlas utilizando OIDC, la conexión falla. Debes desactivar la autorización LDAP para utilizar la autenticación OIDC.

Conflictos entre la autorización LDAP y los usuarios X.509

Si habilitas la autorización LDAP, no podrás conectarte a tus clústeres con usuarios que se autentican con un certificado X.509 gestionado por Atlas.

Tras habilitar la autorización LDAP,podrá conectarse a sus clústeres con usuarios que se autentiquen con509 un certificado X. autoadministrado. Sin embargo, el nombre común del usuario en su509 certificado X. debe coincidir con el nombre completo de un usuario autorizado para acceder a su base de datos mediante LDAP.

nombre de usuario

Atlas utiliza el nombre distintivo (DN) completo de los usuarios en su servidor LDAP como nombre de usuario de Atlas. Por ejemplo, un usuario LDAP de ejemplo llamado ralph tiene el siguiente nombre de usuario en Atlas:

cn=ralph,cn=Users,dc=aws-atlas-ldap-01,dc=myteam,dc=com

Cadena de conexión

Si el administrador habilita la autenticación de usuario o tanto la autenticación de usuario como la autorización con LDAP, los usuarios de la base de datos deben anular los siguientes parámetros en la cadena de conexión para sus clientes.

  • authSource debe ser $external

  • authenticationMechanism debe ser PLAIN

Ejemplo

La siguiente cadena de conexión para mongosh autentica a un usuario LDAP llamado rob:

mongosh "mongodb+srv://cluster0-tijis.mongodb.net/test?authSource=%24external" \
  --authenticationMechanism PLAIN \
  --username cn=rob,cn=Users,dc=ldaps-01,dc=myteam,dc=com

Para copiar la cadena de conexión:

1

En Atlas, ve a Clusters página para tu proyecto.

  1. Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Clusters en la sección Database.

La página de clústeres se muestra.

2

Localiza la cadena de conexión.

Haga clic en Connect.

3

Edita la cadena de conexión.

Edita la string con tu User DN y la contraseña.

Nota

Si sus contraseñas, nombres de bases de datos o cadenas de conexión contienen caracteres URI reservados, debe reemplazar dichos caracteres. Por ejemplo, si su contraseña es @bc123, debe reemplazar el carácter @ al especificar la contraseña en la cadena de conexión, como %40bc123. Para obtener más información, consulte los Caracteres especiales en la contraseña de la cadena de conexión.

Uso de direcciones IP públicas

Puedes usar direcciones IP públicas que remitan a otras direcciones IP internas o privadas utilizando la traducción de direcciones de red para permitir el tráfico de Atlas a tu servidor LDAP. Si haces esto, ten en cuenta que ciertas actividades desencadenan un cambio en las direcciones IP públicas del clúster de Atlas.

Si permitiste el acceso al servidor LDAP en función de las direcciones IP públicas, los cambios en la dirección IP pública del clúster de Atlas impedirán el acceso a LDAP. Para restaurar el acceso LDAP, agregue las nuevas direcciones IP públicas del clúster de Atlas a la lista de acceso de LDAP.

Procedimientos

Configurar la autenticación con LDAP

Nota

Puede utilizar el mismo comando CLI de Atlas para configurar la autenticación LDAP y la autorización LDAP.

Para guardar una configuración LDAP para el proyecto que especifique mediante la CLI de Atlas, ejecute el siguiente comando:

atlas security ldap save [options]

Para obtener más información sobre la sintaxis del comando y los parámetros, consulte la documentación de la CLI de Atlas para atlas seguridad ldap save.

Utilice el siguiente procedimiento para configurar la autenticación de usuarios con LDAP para todos los clústeres de un proyecto.

1

En Atlas, ve a la página Advanced de tu proyecto.

  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

  4. En la barra lateral, haga clic en Advanced.

    La página Avanzada se muestra.

2

Cambie el botón junto LDAP Authentication a On a.

Nota

Es posible que incurras en costos adicionales al habilitar esta funcionalidad. Consulte Seguridad avanzada.

3

Introduzca los detalles del servidor y las credenciales de enlace para todos sus servidores LDAP en el panel Configure Your LDAP Server.

Puedes listar múltiples servidores separados por comas. No se pueden usar puertos diferentes.

4

Ingresa los certificados emitidos por una Autoridad Certificadora (CA) para tus servidores LDAP, separados por comas, en el campo CA Root Certificate.

Puedes proporcionar certificados autofirmados.

5

Haga clic en Verify and Save.

Espera a que Atlas implemente tus cambios. Atlas verifica que sus clusters puedan conectarse, autenticar y consultar sus servidores LDAP usando los detalles de configuración que proporcionó.

Configurar autorización

Nota

Puede utilizar el mismo comando CLI de Atlas para configurar la autenticación LDAP y la autorización LDAP.

Para guardar una configuración LDAP para el proyecto que especifique mediante la CLI de Atlas, ejecute el siguiente comando:

atlas security ldap save [options]

Para obtener más información sobre la sintaxis del comando y los parámetros, consulte la documentación de la CLI de Atlas para atlas seguridad ldap save.

Utilice el siguiente procedimiento para configurar la autorización de usuarios con LDAP para todos los clústeres de un proyecto.

Importante

  • Debe activar la autenticación con LDAP antes de activar la autorización.

  • Cuando habilitas y configuras la autorización LDAP, los usuarios de la base de datos que solo están configurados para la autenticación LDAP ya no podrán acceder a las bases de datos.

1

En Atlas, ve a la página Advanced de tu proyecto.

  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

  4. En la barra lateral, haga clic en Advanced.

    La página Avanzada se muestra.

2

Cambie el botón junto LDAP Authorization a On a.

3

Ingresa los detalles del servidor y las credenciales de enlace para tu servidor LDAP en el panel Configure Your LDAP Server.

4

Ingresa una plantilla de consulta en Query Template.

Cuando un usuario intenta realizar una acción, Atlas ejecuta la plantilla de consulta LDAP para obtener los grupos LDAP a los que pertenece el usuario autenticado. Atlas permite la acción si la consulta devuelve al menos un grupo autorizado para realizarla. Atlas no permite la acción si la consulta no devuelve ningún grupo autorizado para realizarla.

Atlas sustituye el nombre de usuario autenticado en el marcador de posición {USER} cuando ejecuta la query. La consulta es relativa al host especificado en Server Hostname.

El formato de la query debe estar conforme a RFC4515.

Si no proporciona una plantilla de query, Atlas aplica el valor predeterminado: {USER}?memberOf?base.

5

Haga clic en Verify and Save.

Espere a que Atlas implemente los cambios. Atlas verifica que sus clústeres puedan conectarse, autenticarse y consultar su servidor LDAP utilizando la configuración proporcionada.

Añadir un usuario o grupo de base de datos LDAP

Para crear un usuario de base de datos para su proyecto usando Atlas CLI, ejecute el siguiente comando:

atlas dbusers create [builtInRole]... [options]

Para obtener más información sobre la sintaxis del comando y los parámetros, consulta la documentación de la CLI de Atlas para atlas dbusers create.

Después de configurar la autorización con LDAP, siga estos pasos para crear un usuario o grupo de base de datos LDAP:

1

En Atlas, ve a la página Database & Network Access de tu proyecto.

  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

La página Acceso a la base de datos y a la red se muestra.

2

Abrir el cuadro de diálogo Add New Database User.

  1. Si aún no se muestra, haz clic en la pestaña Database Users.

  2. Haga clic en Add New Database User.

3

Seleccione LDAP.

En la sección Authentication Method de la ventana modal Add New Database User, selecciona la casilla etiquetada LDAP.

Nota

Si no ves la opción LDAP, debes configurar la autorización con LDAP.

4

Seleccione el tipo de LDAP.

En LDAP Type, seleccione LDAP User para un solo usuario o LDAP Group para un grupo LDAP.

5

Ingresar la string de autenticación LDAP.

Ingresa la cadena de autenticación para el usuario LDAP o el grupo LDAP.

Ejemplo

Para el usuario LDAP llamado myUser en el proyecto llamado projectName, ingrese lo siguiente:

cn=myUser,ou=projectName,dc=com

Si habilitas la autorización LDAP, puedes crear usuarios LDAP, pero no podrán acceder a tus clústeres. Agrega un grupo LDAP para acceder a los clústeres con la autorización LDAP activada.

6

Asigna privilegios.

Selecciona los privilegios de usuario de base de datos. Puedes asignar privilegios al nuevo usuario de una o más de las siguientes maneras:

  • Selecciona un rol integrado en el menú desplegable Built-in Role. Puedes seleccionar un rol integrado por cada usuario de base de datos dentro de la Interfaz de Usuario de Atlas. Si borras la opción por defecto, puedes hacer clic en Add Built-in Role para seleccionar un nuevo rol incorporado.

  • Si se tiene algún rol personalizado definido, se puede expandir la sección Custom Roles y seleccionar uno o más roles del menú desplegable Custom Roles. Se debe hacer clic en Add Custom Role para agregar más roles personalizados. También se puede hacer clic en el enlace Custom Roles para ver los roles personalizados del proyecto.

  • Expanda la sección Specific Privileges y seleccione uno o más privilegios del menú desplegable Specific Privileges. Haga clic en Add Specific Privilege para agregar más privilegios. Esto asigna al usuario privilegios específicos en bases de datos y colecciones individuales.

Atlas puede aplicar un rol con funcionalidad incorporada, múltiples roles personalizados y múltiples privilegios específicos a un único usuario de base de datos.

Para remover un rol o privilegio aplicado, haz clic en Delete junto al rol o privilegio que deseas borrar.

Nota

Atlas no muestra el icono de Delete junto a la selección de Built-in Role, Custom Role o Specific Privilege si solo se seleccionó una opción. Se puede borrar el rol o privilegio seleccionado una vez que se aplique otro rol o privilegio.

Para obtener más información sobre la autorización, consulta Control de acceso basado en roles y Roles incorporados en el Manual de MongoDB.

7

Especifique los recursos del proyecto a los que el usuario puede acceder.

Por defecto, los usuarios pueden acceder a todos los clústeres e instancias federadas de bases de datos del proyecto. Puedes restringir el acceso a clústeres específicos e instancias federadas de bases de datos haciendo lo siguiente:

  1. Establece Restrict Access to Specific Clusters/Federated Database Instances en ON.

  2. Seleccione los clústeres e instancias federadas de bases de datos para conceder acceso al usuario desde la lista de Grant Access To.

8

Guardar como usuario temporal o grupo temporal.

  1. Alterne Temporary User o Temporary Group a On.

  2. Seleccione el tiempo tras el cual Atlas puede eliminar al usuario o grupo en el menú desplegable Temporary User Duration o Temporary Group Duration. Puede seleccionar uno de los siguientes periodos de existencia del usuario o grupo:

    • 6 horas

    • 1 día

    • 1 semana

En la pestaña Database Users, los usuarios y grupos temporales muestran el tiempo restante hasta que Atlas borrará al usuario o al grupo. Una vez que Atlas borra al usuario o grupo, cualquier cliente o aplicación que utilice las credenciales temporales del usuario o grupo pierde acceso al clúster.

9

Haga clic Add User en Add Group o.

Ver la configuración de LDAP

Para devolver los detalles de una configuración de LDAP usando la CLI de Atlas, ejecuta el siguiente comando:

atlas security ldap get [options]

Para obtener más información sobre la sintaxis de los comandos y los parámetros, consulte la documentación de Atlas CLI para atlas security ldap get.

Para ver tu configuración actual de LDAP mediante la interfaz de usuario de Atlas:

1

En Atlas, ve a la página Advanced de tu proyecto.

  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

  4. En la barra lateral, haga clic en Advanced.

    La página Avanzada se muestra.

2

Cambie el botón junto LDAP Authentication a On a.

Atlas muestra tu configuración de autenticación LDAP.

Para ver la configuración de autorizacion LDAP de , activa el botón junto a LDAP Authorization a On. Atlas muestra tus ajustes de autorización LDAP .

Deshabilitar la configuración LDAP

Nota

Puede utilizar el mismo comando CLI de Atlas para deshabilitar las configuraciones de autenticación LDAP y las configuraciones de autorización LDAP.

Para borrar una configuración LDAP usando Atlas CLI, ejecuta el siguiente comando:

atlas security ldap delete [options]

Para obtener más información sobre la sintaxis del comando y los parámetros, consulta la documentación de la Atlas CLI para Atlas seguridad LDAP borrar.

Para deshabilitar su configuración LDAP actual mediante la interfaz de usuario de Atlas:

1

En Atlas, ve a la página Advanced de tu proyecto.

  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

  4. En la barra lateral, haga clic en Advanced.

    La página Avanzada se muestra.

2

Cambie el botón junto LDAP Authentication a OFF a.

Atlas desactiva tus configuraciones de autenticación de LDAP y tus configuraciones de autorizacion LDAP.

Para desactivar solo la autorizacion LDAP, cambia el botón al lado LDAP Authorization de OFF a. Atlas deshabilita sus configuraciones de autorizacion LDAP.

Tutoriales para proveedores LDAP de terceros

Utiliza los siguientes tutoriales para configurar Atlas para autenticar y autorizar usuarios de proveedores de LDAP de terceros:

Volver

AWS IAM

Next

Microsoft Entra ID DS

En esta página