Los certificados X.509 autogestionados, también conocidos como TLS mutuo o mTLS, proporcionan a los usuarios de bases de datos acceso a los clústeres de su proyecto. Los usuarios de bases de datos son independientes de los usuarios de Atlas. Los usuarios de bases de datos tienen acceso a las bases de datos de MongoDB, mientras que los usuarios de Atlas tienen acceso a la propia aplicación Atlas.
Considerations
Si usted habilitar la autorización LDAP, no puedes conectarte a tus clústeres con usuarios que se autentiquen con un certificado X gestionado por Atlas.509.
Después de habilitar autorización LDAP, usted puede conectarse a sus clústeres con usuarios que se autentiquen con un certificado X.509 autogestionado. Sin embargo, el Nombre Común del usuario en su certificado X.509 debe coincidir con el Nombre Distinguido de un usuario autorizado para acceder a su base de datos con LDAP.
Puede tener usuarios que se autentican con certificados autoadministrados y usuarios que se autentican con certificados X.509 administrados por Atlas en la misma base de datos.
Acceso requerido
Para gestionar los usuarios de bases de datos, debes tener
Acceso de Organization Owner o Project Owner a Atlas.
Requisitos previos
Para utilizar certificados X.509 autogestionados, debe tener una Infraestructura de llave pública para integrarse con MongoDB Atlas.
Configurar un proyecto para utilizar una infraestructura de clave pública
En Atlas, ve a Advanced página para tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La Avanzado se visualizan en la página.
Proporcionar una autoridad de certificación codificada en PEM.
Para guardar una configuración X.509 administrada por el cliente para el proyecto que especifique mediante la CLI de Atlas, ejecute el siguiente comando:
atlas security customerCerts create [options]
Para obtener más información sobre la sintaxis del comando y los parámetros, consulte la documentación de Atlas CLI para atlas seguridad customerCerts create.
Puede proporcionar una autoridad de certificación (CA) mediante la interfaz de usuario de Atlas mediante:
Haciendo clic en Upload y seleccionando un archivo
.pemde su sistema de archivos y haciendo clic en Save.Copiar el contenido de un archivo
.pemen el área de texto proporcionada y hacer clic en Save.
Puedes concatenar múltiples CAs en el mismo archivo .pem o en el área de texto. Los usuarios pueden autenticarse con certificados generados por cualquiera de las AC proporcionadas.
Cuando subas una AC, se creará automáticamente una alerta a nivel de proyecto para enviar una notificación 30 días antes de que la AC caduque, repitiéndose cada 24 horas. Puede ver y editar esta alerta desde la página Alert Settings de Atlas. Para más información sobre cómo configurar alertas, consulta Configurar los ajustes de alertas.
Ver o modificar la configuración de autenticación X.509 autogestionada
Para devolver los detalles de una configuración gestionada por el cliente X.509 para el Proyecto que especifique a través de la Atlas CLI, ejecutar el siguiente comando:
atlas security customerCerts describe [options]
Para deshabilitar una configuración X.509 administrada por el cliente para el proyecto que especifique mediante la CLI de Atlas, ejecute el siguiente comando:
atlas security customerCerts disable [options]
Para obtener más información sobre la sintaxis y los parámetros de los comandos anteriores, consulte la documentación de Atlas CLI sobre atlas security customerCerts describe y atlas security customerCerts disable.
Para ver o editar tu CA utilizando la Interfaz de Usuario de Atlas, haz clic en el icono Self-Managed X.509 Authentication Settings .
Añadir un usuario de base de datos usando autenticación X.509 autogestionada
En Atlas, ve a la página Database & Network Access de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
La página Acceso a la base de datos y a la red se muestra.
Introduzca la información del usuario.
Campo | Descripción | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Distinguished Name | El Nombre común (CN) del usuario y opcionalmente campos adicionales de Nombre distinguido (RFC 4514) de la siguiente tabla:
Para obtener más información sobre campos de Nombre Distinguido, consulte RFC 4514. Por ejemplo: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
User Privileges | Puedes asignar roles de una de las siguientes maneras:
Para obtener información sobre los privilegios integrados de Atlas, consulta Roles integrados. Para obtener más información sobre la autorización, consulta Control de acceso basado en roles y Roles incorporados en el Manual de MongoDB. |