Los certificados X.509 autogestionados, también conocidos como TLS mutuo o mTLS, proporcionan a los usuarios de bases de datos acceso a los clústeres de su proyecto. Los usuarios de bases de datos son independientes de los usuarios de Atlas. Los usuarios de bases de datos tienen acceso a las bases de datos de MongoDB, mientras que los usuarios de Atlas tienen acceso a la propia aplicación Atlas.
Considerations
Si usted Habilitar la autorización LDAP: no podrá conectarse a sus clústeres con usuarios que se autentiquen con un509 certificado X. administrado por Atlas.
Después de habilitar AutorizaciónLDAP: puede conectarse a sus clústeres con usuarios que se autentiquen con un certificado X.509 autoadministrado. Sin embargo, el nombre común del usuario en su509 certificado X. debe coincidir con el nombre distinguido de un usuario autorizado para acceder a su base de datos mediante LDAP.
Puede tener usuarios que se autentican con certificados autoadministrados y usuarios que se autentican con certificados X.509 administrados por Atlas en la misma base de datos.
Acceso requerido
Para administrar los usuarios de la base de datos, debe tener
Organization Ownero acceso a Project Owner Atlas.
Requisitos previos
Para utilizar certificados X.509 autoadministrados, debe tener una infraestructura de clave pública para integrarse con MongoDB Atlas.
Configurar un proyecto para utilizar una infraestructura de clave pública
En Atlas, vaya a la Advanced Página para su proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
El Se muestran páginas avanzadas.
Proporcionar una autoridad de certificación codificada en PEM.
Para guardar una configuración X.509 administrada por el cliente para el proyecto que especifique mediante la CLI de Atlas, ejecute el siguiente comando:
atlas security customerCerts create [options]
Para obtener más información sobre la sintaxis y los parámetros del comando, consulte la documentación de la CLI de Atlas para atlas security customerCerts create.
Puede proporcionar una autoridad de certificación (CA) mediante la interfaz de usuario de Atlas mediante:
Haga clic en Upload y seleccione un archivo
.pemde su sistema de archivos y haga clic en Save.Copiar el contenido de un archivo
.pemen el área de texto proporcionada y hacer clic en Save.
Puede concatenar varias CA en el mismo archivo .pem o en el área de texto. Los usuarios pueden autenticarse con certificados generados por cualquiera de las CA proporcionadas.
Al cargar una CA, se crea automáticamente una alerta a nivel de proyecto para enviar una notificación 30 días antes de su vencimiento, con una repetición cada 24 horas. Puede ver y editar esta alerta desde la Alert Settings página de Atlas. Para obtener más información sobre la configuración de alertas, consulte Configurar ajustes de alertas.
Ver o modificar la configuración de autenticación X.509 autoadministrada
Para devolver los detalles de una configuración X.509 administrada por el cliente para el proyecto que especifique mediante la CLI de Atlas, ejecute el siguiente comando:
atlas security customerCerts describe [options]
Para deshabilitar una configuración X.509 administrada por el cliente para el proyecto que especifique mediante la CLI de Atlas, ejecute el siguiente comando:
atlas security customerCerts disable [options]
Para obtener más información sobre la sintaxis y los parámetros de los comandos anteriores, consulte la documentación de la CLI de Atlas para atlas security customerCerts describe y atlas security customerCerts disabled.
Para ver o editar su CA usando la interfaz de usuario de Atlas, haga clic en el Self-Managed X.509 Authentication Settings ícono.
Agregar un usuario de base de datos mediante la autenticación X.509 autoadministrada
En Atlas, ve a la página Database & Network Access de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
La página Acceso a la base de datos y a la red se muestra.
Introduzca la información del usuario.
Campo | Descripción | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Distinguished Name | El nombre común (CN) del usuario y, opcionalmente, campos de nombre distinguido adicionales(RFC 4514) de la siguiente tabla:
Para obtener más información sobre los campos de nombre distinguido, consulte 4514RFC. Por ejemplo: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
User Privileges | Puede asignar roles de una de las siguientes maneras:
Para obtener información sobre los privilegios integrados de Atlas, consulte Roles integrados. Para obtener más información sobre la autorización, consulta Control de acceso basado en roles y Roles incorporados en el Manual de MongoDB. |