/ /

Federado

Docs Home

Gestión

Seguridad de la organización

Federado

Docs Home

Gestión

Seguridad de la organización

Federado

Configurar la autenticación federada desde Google Workspace

Esta guía le muestra cómo configurar la autenticación federada usando Google Workspace como su Desplazado personal.

Después de integrar Google Workspace y Atlas, puede usar las credenciales de su empresa para iniciar sesión en Atlas y otros servicios en la nube de MongoDB.

Acceso requerido

Para gestionar la autenticación federada, debes tener Organization Owner acceso a una o más organizaciones que están delegando la configuración de federación a la instancia.

Requisitos previos

Para usar Google Workspace como un proveedor de identidad para Atlas, debes tener:

Una suscripción a Google Workspace. Para obtener una suscripción, visite el Portal de Google Workspace.
Un usuario de Google Workspace con privilegios administrativos. Para otorgar privilegios administrativos a un usuario, consulta Hacer admin a un usuario. Como alternativa, puede utilizar el usuario administrativo por defecto creado al activar su cuenta de Google Workspace.

Procedimientos

Configurar Google Workspace como proveedor de identidad

Utilice la consola de administración de Google Workspace para configurar Google Workspace como un IdP SAML.

Agrega una nueva aplicación a tu cuenta de Google Workspace.

En su cuenta de administrador de Google Workspace, abra el Apps menú desplegable y haga clic en Web and mobile apps.
Abre el menú desplegable Add App y haz clic en Add custom SAML app.
Introduce un nombre para identificar la aplicación, como "MongoDB nube", en el campo App name.
Seleccione un App icon si lo desea.
Haga clic en el botón Continue.

Recupera las credenciales SSO de Google Workspace.

Vaya a la sección Option 2.
Copia el SSO URL y el Entity ID, y descarga el Certificate proporcionado. Estos serán usados por el FMC en un paso posterior. Deja esta página abierta.

En Atlas, ir a la consola Federation Management de la Organización.

Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haz clic en Federation en la sección Identity & Access.
Haga clic en Open Federation Management App.

La página de Federación se muestra.

Proporciona las credenciales de Google Workspace a Atlas.

Haga Identity Providers clic en en el panel izquierdo. Si ya configuró un IdP, haga Add Identity Provider clic en en la esquina superior derecha de la página y luego Setup Identity Provider en. Si no ha configurado un IdP, haga clic Setup Identity Provider en.

En la pantalla Create Identity Provider, ingresa la siguiente información:

Campo	Valor
Configuration Name	Un nombre descriptivo que identifique la configuración.
Issuer URI	Entity ID que recibió de Google Workspace en el paso anterior.
Single Sign-On URL	SSO URL que recibió de Google Workspace en el paso anterior.
Identity Provider Signature Certificate	`.cer` archivo que recibiste de Google Workspace en el paso anterior. Puedes: Cargue el certificado desde su computadora Pegue el contenido del certificado en un cuadro de texto
Request Binding	`HTTP POST`
Response Signature Algorithm	`SHA-256`

Haga clic en el botón Next.

Obtén metadatos de Atlas para Google Workspace.

En el FMC, copia el/la Assertion Consumer Service URL y el/la Audience URI.
Haga clic en el botón Finish.
Copia el Login URL en el mosaico proveedor de identidad que Google Workspace crea para tu aplicación.

Proporcionar metadatos de Atlas a Google Workspace.

Vuelve a la página de configuración de Google Workspace y haz clic en el botón Continue.

Rellene los campos de datos con los siguientes valores:

Campo	Valor
ACS URL	El Assertion Consumer Service URL proporcionado por Atlas.
Entity ID	El Audience URI proporcionado por Atlas.
Start URL	El Login URL proporcionado por Atlas.
Signed Response	Marque esta casilla.
Name ID Format	`UNSPECIFIED`
Name ID	`Basic Information > Primary Email`

Haga clic en el botón Continue.

Configura los atributos de Google Workspace.

En Google Workspace, agrega cada uno de los siguientes pares de valores como asignaciones distintas haciendo clic en el botón Add Mapping para cada par. Los valores App attribute distinguen entre mayúsculas y minúsculas.
Atributos de Google Directory
Atributos de la aplicación
Información básica > Nombre
firstName
Información básica > Apellido
lastName
Si estás configurando la asignación de roles, continúa con el siguiente paso. De lo contrario, haz clic en el botón Finish y continúa a Habilitar el acceso del usuario a través de Google Workspace.

(Opcional) Configurar la asignación de roles.

Para configurar la asignación de roles en Google Workspace, crea un único atributo de grupo en la sección Group membership (optional) como se indica a continuación:

Grupos de Google	Busque y seleccione todos los grupos de Google que desea mapear a roles de Atlas, asegurándose de que todos estén incluidos en una sola fila. Para obtener más información sobre este atributo, consulte Acerca del mapeo de membresía de grupos.
Atributos de la aplicación	`memberOf`

Haga clic en el botón Finish.

Habilitar el acceso de usuarios a través de Google Workspace.

Haz clic en la flecha en la esquina superior derecha del panel User Access para expandirlo.
Habilitar el acceso del usuario. Puede:
- Haz clic en ON for everyone en el panel Service status para habilitar la autenticación federada para todos los usuarios de tu Google Workspace.
- Selecciona Groups o Organizational Units específicos de los menús desplegables a la izquierda para los cuales deseas habilitar la autenticación federada. Las páginas de ayuda de Google Workspace ofrecen más información sobre la administración de Grupos y Unidades Organizativas.

Mapea tu dominio

Asignar tu dominio al proveedor de identidad permite que Atlas sepa que los usuarios de tu dominio deben ser dirigidos a la Login URL para tu configuración de proveedor de identidad.

Cuando los usuarios visitan la página de inicio de sesión de Atlas, introducen su dirección de correo electrónico. Si el dominio de correo electrónico está asociado a un proveedor de identidad, se envía a la URL de inicio de sesión de ese proveedor de identidad.

Importante

Cuando se asigna un único dominio a varios proveedores de identidad, los usuarios que inician sesión utilizando la consola de MongoDB Cloud son redirigidos automáticamente al proveedor de identidad asociado con la primera aplicación SAML proveedor de identidad que se configuró para Atlas.

Para utilizar un proveedor de identidad alternativo, los usuarios deben iniciar sesión a través de una URL de inicio de sesión iniciada por el SP o el proveedor de identidad.

Utiliza la Federation Management Console para asignar tu dominio al proveedor de identidad:

En Atlas, ir a la consola Federation Management de la Organización.

Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haz clic en Federation en la sección Identity & Access.
Haga clic en Open Federation Management App.

La página de Federación se muestra.

Ingresa la información de mapeo del dominio.

Haga clic en Add a Domain.
En la pantalla Domains, haz clic en Add Domain.
Ingresa la siguiente información para el mapeo de tu dominio:
Campo
Descripción
Display Name
Etiqueta para identificar fácilmente el dominio.
Nombre de dominio
Nombre de dominio para asignar.
Haga clic en Next.

Elige el método de verificación de tu dominio.

Nota

Puedes elegir el método de verificación una vez. No se puede modificar. Para seleccionar otro método de verificación, borra y recrea el mapeo de dominio.

Selecciona la pestaña adecuada en función de si cargarás un archivo HTML o crearás un registro DNS TXT para verificar tu dominio:

Se puede cargar un archivo HTML que contenga una clave de verificación para verificar que se es el propietario del dominio.

Haga clic en HTML File Upload.
Haga clic en Next.
Descarga el archivo mongodb-site-verification.html que proporciona Atlas.
Se puede cargar el archivo HTML en un sitio web del dominio. Se debe poder acceder al archivo en <https://host.domain>/mongodb-site-verification.html.
Haga clic en Finish.

Crea un registro TXT de DNS con tu proveedor de dominio para verificar que eres el propietario de tu dominio. Cada registro DNS asocia una organización de Atlas específica con un dominio específico.

Haga clic en DNS Record.
Haga clic en Next.
Copia el registro TXT proporcionado. El registro TXT tiene la siguiente forma:
```
mongodb-site-verification=<32-character string>
```
Inicia sesión en tu proveedor de nombre de dominio (como GoDaddy.com o networksolutions.com).
Agrega el registro TXT que Atlas proporciona a tu dominio.
Regresa a Atlas y haz clic en Finish.

Verifica tu dominio.

En la pantalla Domains, se muestran los dominios verificados y no verificados que has asignado a tu proveedor de identidad. Para verificar tu dominio, haz clic en el botón Verify del dominio de destino. Atlas muestra si la verificación se ha realizado correctamente en un banner en la parte superior de la pantalla.

Borrar el archivo de registro proporcionado.

Importante

Para evitar una posible vulnerabilidad de seguridad, se debe borrar el archivo de registro proporcionado una vez que se complete la verificación.

Asocia tu dominio con tu proveedor de identidad

Después de verificar correctamente tu dominio, utiliza Federation Management Console para asociar el dominio con Google Workspace:

Haz clic en Identity Providers en la navegación izquierda.

Para el proveedor de identidad que quieres asociar con tu dominio, haz clic en Edit junto a Associated Domains.

Selecciona el dominio que quieres asociar al proveedor de identidad.

Haga clic en Confirm.

Prueba tu asignación de dominio

Importante

Antes de comenzar las pruebas, copia y guarda la URL del Modo de SAML de omisión para tu proveedor de identidad. Usa esta URL para omitir la autenticación federada si no puedes acceder a tu organización Atlas.

Durante las pruebas, mantén iniciada la sesión en la Federation Management Console para evitar bloqueos.

Para aprender más sobre Bypass SAML Mode, consulta Modo de SAML de omisión.

Utiliza el Federation Management Console para probar la integración entre tu dominio y Google Workspace:

En una ventana privada del navegador, navega a la página de inicio de sesión de Atlas.

Ingresa un nombre de usuario (generalmente una dirección de correo electrónico) con tu dominio verificado.

Ejemplo

Si tu dominio verificado es mongodb.com, utiliza una dirección de correo electrónico con el formato username@mongodb.com.

Haz clic en Next. Si asignaste tu dominio correctamente, se te redirigirá a tu proveedor de identidad para autenticarte. Una vez que la autenticación sea exitosa, se te redirigirá de regreso a Atlas.

Nota

Puedes omitir la página para iniciar sesión de Atlas si navegas directamente a tu proveedor de identidad Login URL.

(Opcional) Mapea una organización

Utiliza el Federation Management Console para asignar a los usuarios de tu dominio acceso a organizaciones específicas de Atlas:

En Atlas, ir a la consola Federation Management de la Organización.

Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haz clic en Federation en la sección Identity & Access.
Haga clic en Open Federation Management App.

La página de Federación se muestra.

Conecta una organización a la aplicación de la Federación.

Haga clic en Link Organizations.
Atlas muestra todas las organizaciones en las que eres un Organization Owner.
Las organizaciones que aún no están conectadas a la aplicación de la Federación tienen el botón Configure Access en la columna Actions.
Haz clic en el botón Configure Access de la organización deseada.

Aplica un proveedor de identidad a la organización.

En la pantalla Identity Provider, haz clic en Connect Identity Provider.
Atlas te dirige a la pantalla Identity Providers que muestra todos los proveedores de identidad que has vinculado con Atlas.
Para el proveedor de identidad que apliques a la organización, haz clic en Connect.
En el modo Apply Identity Provider to Organizations, selecciona las organizaciones a las que se aplica este proveedor de identidad.
Haga clic en Confirm.

Conecta una organización a la aplicación de la Federación.

Haz clic en Linked Organizations en la navegación izquierda.
En la lista de Organizations, asegúrate de que las organizaciones que deseas ahora tengan el Identity Provider esperado.

(Opcional) Configura las opciones avanzadas de autenticación federada

Puedes configurar las siguientes opciones avanzadas para la autenticación federada para un mayor control sobre tus usuarios federados y el flujo de autenticación:

Modo de SAML de omisión

Nota

Las siguientes opciones avanzadas para la autenticación federada requieren que asignes una organización.

Inicia sesión en Atlas usando tu URL de inicio de sesión

Todos los usuarios que asignes a la aplicación de Google Workspace pueden iniciar sesión en Atlas utilizando sus credenciales de Google Workspace en el Login URL. Los usuarios tienen acceso a las organizaciones que mapeó a su proveedor de identidad.

Importante

Para utilizar un proveedor de identidad alternativo, los usuarios deben iniciar sesión a través de una URL de inicio de sesión iniciada por el SP o el proveedor de identidad.

Si seleccionas un rol de organización por defecto, los nuevos usuarios que inicien sesión en Atlas utilizando el Login URL tendrán el rol que especifiques

Volver

Microsoft Entra ID

Okta

Atributos de Google Directory	Atributos de la aplicación
Información básica > Nombre	`firstName`
Información básica > Apellido	`lastName`

Campo	Descripción
Display Name	Etiqueta para identificar fácilmente el dominio.
Nombre de dominio	Nombre de dominio para asignar.