Docs Menu
Docs Home
/ /
Federado
Docs Home
/
Gestión
/
Seguridad de la organización
/
Federado
Docs Home
/
Gestión
/
Seguridad de la organización
/
Federado

Configurar la autenticación federada desde PingOne

Esta guía le muestra cómo configurar la autenticación federada usando PingOne como su Desplazado personal.

Después de integrar PingOne y Atlas, puede usar las credenciales de su empresa para iniciar sesión en Atlas y otros servicios en la nube de MongoDB.

Acceso requerido

Para administrar la autenticación federada, debe tener Organization Owner acceso a una o más organizaciones que están delegando configuraciones de federación a la instancia.

Requisitos previos

Para utilizar PingOne como IdP para Atlas, debe tener:

  • Una suscripción a PingOne. Para obtener una suscripción, visite PingOne.

  • Un usuario de PingOne con privilegios administrativos. Para otorgarle privilegios administrativos, consulte "Administración de administradores". También puede usar el usuario administrativo predeterminado creado al activar su cuenta de PingOne.

Procedimientos

Configurar PingOne como proveedor de identidad

Utilice la consola de administración de PingOne para configurar PingOne como un IdP SAML.

1

Descargue su certificado de originación de PingOne.

  1. En su cuenta de PingOne, inicie sesión en Administrator ambiente.

  2. En la barra de navegación superior, haga clic en Setup.

  3. En la barra de navegación secundaria, haga clic en Certificates. Se mostrará un PingOne Account Origination Certificate con fecha de vencimiento.

  4. Haga clic en la flecha expandidora a la derecha de la fecha de vencimiento y haga clic en Download.

2

Configurar la aplicación SAML.

  1. En la barra de navegación superior, haga clic en Applications.

  2. En la pestaña My Applications, haga clic en el menú desplegable Add Application y seleccione New SAML Application.

  3. Introduce un nombre para identificar la aplicación, como "MongoDB Atlas", en el campo Application Name.

  4. Introduzca una descripción de la aplicación en el campo Application Description.

  5. Seleccione una categoría para la aplicación en el menú desplegable Category.

  6. Haga clic en Continue to Next Step.

3

En Atlas, ir a la consola Federation Management de la Organización.

  1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

  2. En la barra lateral, haz clic en Federation en la sección Identity & Access.

  3. Haga clic en Open Federation Management App.

La página de Federación se muestra.

4

Proporcione las credenciales de PingOne a Atlas.

  1. Haga Identity Providers clic en en el panel izquierdo. Si ya configuró un IdP, haga Add Identity Provider clic en en la esquina superior derecha de la página y luego Setup Identity Provider en. Si no ha configurado un IdP, haga clic Setup Identity Provider en.

  2. En la pantalla Configure Identity Provider, ingrese la siguiente información:

    Campo
    Valor

    Configuration Name

    Etiqueta descriptiva que identifica la configuración

    Issuer URI

    Fill with Placeholder Values

    Single Sign-On URL

    Fill with Placeholder Values

    Identity Provider Signature Certificate

    Certificado que recibió de PingOne en un paso anterior

    Request Binding

    HTTP POST

    Response Signature Algorithm

    SHA-256

  3. Haga clic en el botón Next para ver los valores de la configuración de PingOne.

5

En la página de configuración de PingOne,I have the SAML configuration haga clic en en la parte superior e ingrese los valores de Atlas FMC.

Campo
Valor

Signing Certificate

Certificado que recibió de PingOne en un paso anterior

Protocol Version

SAML v2.0

Assertion Consumer Service

La Assertion Consumer Service URL del Atlas FMC

Entity ID

El Audience URI del Atlas FMC

Application URL

Dejar en blanco

Single Logout Endpoint

Dejar en blanco

Single Logout Response Endpoint

Dejar en blanco

Single Logout Binding Type

Dejar en blanco

Primary Verification Certificate

No seleccione un certificado.

Encrypt Assertion

Desenfrenado

Signing

Sign Assertion

Signing Algorithm

RSA_SHA256

Force Re-authentication

Desenfrenado

6

En la configuración de PingOne, haga clic en Continue to Next Step.

7

Añadir atributos de la aplicación.

  1. Para cada atributo, haga clic en Add new attribute.

  2. Proporcione los siguientes valores para los atributos de la aplicación:

    Application Attribute
    Identity Bridge Attribute or Literal Value
    As Literal

    SAML_SUBJECT

    Email

    Desenfrenado

    firstName

    First Name

    Desenfrenado

    lastName

    Last Name

    Desenfrenado

  3. Para cada atributo, haga clic en Advanced.

  4. Añade tu Name ID Format.

    Puedes tener los siguientes formatos:

    • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

    • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

  5. Haga clic en Continue to Next Step.

8

Agregue los grupos de usuarios para los que desea habilitar la autenticación federada y haga clic en Continue to Next Step.

9

En la página Review Setup, anote los valores Issuer y idpid para usarlos en un paso posterior.

10

En Atlas FMC, Finish Identity Providers haga clic en. En la pantalla, haga clic en Modify para el proveedor PingOne que creó anteriormente.

11

Reemplace los valores de marcador de posición que asignó anteriormente con los siguientes valores:

Campo
Valor

Issuer URI

Issuer valor que usted anotó anteriormente.

Single Sign-On URL

URL que se conecta al inicio de sesión único: https://sso.connect.pingidentity.com/sso/idp/SSO.saml2?idpid=<IDP_ID> donde <IDP_ID> es el valor idpid que anotó anteriormente.

12

Haga Next clic Finish en y luego en.

13

En la página de configuración de PingOne, haga clic en Finish.

Mapea tu dominio

Asignar tu dominio al proveedor de identidad permite que Atlas sepa que los usuarios de tu dominio deben ser dirigidos a la Login URL para tu configuración de proveedor de identidad.

Cuando los usuarios visitan la página de inicio de sesión de Atlas, introducen su dirección de correo electrónico. Si el dominio de correo electrónico está asociado a un proveedor de identidad, se envía a la URL de inicio de sesión de ese proveedor de identidad.

Importante

Cuando se asigna un solo dominio a varios proveedores de identidad, los usuarios que inician sesión mediante la consola MongoDB Cloud son redirigidos automáticamente al IdP asociado con la primera aplicación IdP SAML que se configuró para Atlas.

Para utilizar un proveedor de identidad alternativo, los usuarios deben iniciar sesión a través de una URL de inicio de sesión iniciada por el SP o el IdP.

Utiliza la Federation Management Console para asignar tu dominio al proveedor de identidad:

1
En Atlas, ir a la consola Federation Management de la Organización.

  1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

  2. En la barra lateral, haz clic en Federation en la sección Identity & Access.

  3. Haga clic en Open Federation Management App.

La página de Federación se muestra.

2

Ingresa la información de mapeo del dominio.

  1. Haga clic en Add a Domain.

  2. En la pantalla Domains, haz clic en Add Domain.

  3. Ingresa la siguiente información para el mapeo de tu dominio:

    Campo
    Descripción

    Display Name

    Etiqueta para identificar fácilmente el dominio.

    Nombre de dominio

    Nombre de dominio para asignar.

  4. Haga clic en Next.

3

Elige el método de verificación de tu dominio.

Nota

Puedes elegir el método de verificación una vez. No se puede modificar. Para seleccionar otro método de verificación, borra y recrea el mapeo de dominio.

Selecciona la pestaña adecuada en función de si cargarás un archivo HTML o crearás un registro DNS TXT para verificar tu dominio:

Se puede cargar un archivo HTML que contenga una clave de verificación para verificar que se es el propietario del dominio.

  1. Haga clic en HTML File Upload.

  2. Haga clic en Next.

  3. Descarga el archivo mongodb-site-verification.html que proporciona Atlas.

  4. Se puede cargar el archivo HTML en un sitio web del dominio. Se debe poder acceder al archivo en <https://host.domain>/mongodb-site-verification.html.

  5. Haga clic en Finish.

Crea un registro TXT de DNS con tu proveedor de dominio para verificar que eres el propietario de tu dominio. Cada registro DNS asocia una organización de Atlas específica con un dominio específico.

  1. Haga clic en DNS Record.

  2. Haga clic en Next.

  3. Copia el registro TXT proporcionado. El registro TXT tiene la siguiente forma:

    mongodb-site-verification=<32-character string>

  4. Inicia sesión en tu proveedor de nombre de dominio (como GoDaddy.com o networksolutions.com).

  5. Agrega el registro TXT que Atlas proporciona a tu dominio.

  6. Regresa a Atlas y haz clic en Finish.

4

Verifica tu dominio.

En la pantalla Domains, se muestran los dominios verificados y no verificados que has asignado a tu proveedor de identidad. Para verificar tu dominio, haz clic en el botón Verify del dominio de destino. Atlas muestra si la verificación se ha realizado correctamente en un banner en la parte superior de la pantalla.

5
Borrar el archivo de registro proporcionado.

Importante

Para evitar una posible vulnerabilidad de seguridad, se debe borrar el archivo de registro proporcionado una vez que se complete la verificación.

Asocia tu dominio con tu proveedor de identidad

Después de verificar exitosamente su dominio, utilice Federation Management Console para asociar el dominio con PingOne:

1

Haz clic en Identity Providers en la navegación izquierda.

2

Para el proveedor de identidad que quieres asociar con tu dominio, haz clic en Edit junto a Associated Domains.

3

Selecciona el dominio que quieres asociar al proveedor de identidad.

4

Haga clic en Confirm.

Prueba tu asignación de dominio

Importante

Antes de comenzar las pruebas, copia y guarda la URL del Modo de SAML de omisión para tu proveedor de identidad. Usa esta URL para omitir la autenticación federada si no puedes acceder a tu organización Atlas.

Durante las pruebas, mantén iniciada la sesión en la Federation Management Console para evitar bloqueos.

Para aprender más sobre Bypass SAML Mode, consulta Modo de SAML de omisión.

Utilice Federation Management Console para probar la integración entre su dominio y PingOne:

1

En una ventana privada del navegador, navega a la página de inicio de sesión de Atlas.

2

Ingresa un nombre de usuario (generalmente una dirección de correo electrónico) con tu dominio verificado.

Ejemplo

Si tu dominio verificado es mongodb.com, utiliza una dirección de correo electrónico con el formato username@mongodb.com.

3

Haz clic en Next. Si asignaste tu dominio correctamente, se te redirigirá a tu proveedor de identidad para autenticarte. Una vez que la autenticación sea exitosa, se te redirigirá de regreso a Atlas.

Nota

Puedes omitir la página para iniciar sesión de Atlas si navegas directamente a tu proveedor de identidad Login URL.

(Opcional) Mapea una organización

Utiliza el Federation Management Console para asignar a los usuarios de tu dominio acceso a organizaciones específicas de Atlas:

1

En Atlas, ir a la consola Federation Management de la Organización.

  1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

  2. En la barra lateral, haz clic en Federation en la sección Identity & Access.

  3. Haga clic en Open Federation Management App.

La página de Federación se muestra.

2

Conecta una organización a la aplicación de la Federación.

  1. Haga clic en Link Organizations.

    Atlas muestra todas las organizaciones en las que eres un Organization Owner.

    Las organizaciones que aún no están conectadas a la aplicación de la Federación tienen el botón Configure Access en la columna Actions.

  2. Haz clic en el botón Configure Access de la organización deseada.

3

Aplica un proveedor de identidad a la organización.

  1. En la pantalla Identity Provider, haz clic en Connect Identity Provider.

    Atlas te dirige a la pantalla Identity Providers que muestra todos los proveedores de identidad que has vinculado con Atlas.

  2. Para el proveedor de identidad que apliques a la organización, haz clic en Connect.

  3. En el modo Apply Identity Provider to Organizations, selecciona las organizaciones a las que se aplica este proveedor de identidad.

  4. Haga clic en Confirm.

4

Conecta una organización a la aplicación de la Federación.

  1. Haz clic en Linked Organizations en la navegación izquierda.

  2. En la lista de Organizations, asegúrate de que las organizaciones que deseas ahora tengan el Identity Provider esperado.

(Opcional) Configura las opciones avanzadas de autenticación federada

Puedes configurar las siguientes opciones avanzadas para la autenticación federada para un mayor control sobre tus usuarios federados y el flujo de autenticación:

Nota

Las siguientes opciones avanzadas para la autenticación federada requieren que asignes una organización.

Inicia sesión en Atlas usando tu URL de inicio de sesión

Todos los usuarios que asigne a la aplicación PingOne podrán iniciar sesión en Atlas con sus credenciales de PingOne Login URL en. Los usuarios tendrán acceso a las organizaciones que haya asignado a su IdP.

Importante

Cuando se asigna un solo dominio a varios proveedores de identidad, los usuarios que inician sesión mediante la consola MongoDB Cloud son redirigidos automáticamente al IdP asociado con la primera aplicación IdP SAML que se configuró para Atlas.

Para utilizar un proveedor de identidad alternativo, los usuarios deben iniciar sesión a través de una URL de inicio de sesión iniciada por el SP o el IdP.

Si selecciona un rol de organización predeterminado, los nuevos usuarios que inicien sesión en Atlas mediante Login URL tendrán el rol que usted especifique.

Volver

Okta

Next

Opciones avanzadas

En esta página