Make the MongoDB docs better! We value your opinion. Share your feedback for a chance to win $100.
MongoDB Branding Shape
Click here >
Docs Menu
Docs Home
/ /
Federado
Docs Home
/
Gestión
/
Seguridad de la organización
/
Federado
Docs Home
/
Gestión
/
Seguridad de la organización
/
Federado

Gestionar los proveedores de identidad

La autenticación federada de MongoDB enlaza tus credenciales a través de sistemas de MongoDB como Soporte de MongoDB, MongoDB University, MongoDB Atlas, MongoDB Cloud Manager, Foros de MongoDB Community y MongoDB Feedback. Atlas implementa la autenticación utilizando el modelo de gestión de identidad federada.

Utilizando el modelo FIM:

  • Su empresa gestiona sus credenciales mediante un proveedor de identidad (IdP). Con su IdP, su empresa puede permitirle autenticarse con otros servicios en la web.

  • Configura MongoDB Atlas para autenticar usando datos pasados desde su IdP.

Esto va más allá de SSO ya que su IdP gestiona sus credenciales, no MongoDB. Sus usuarios pueden utilizar Atlas sin necesidad de recordar otro nombre de usuario y contraseña.

Importante

Mientras tenga un IdP federado activado, Atlas desactiva cualquier otro mecanismo de autenticación.

El siguiente procedimiento sirve como guía a través de la vinculación de un IdP de SAML a Atlas.

Acceso requerido

Para gestionar la autenticación federada, debe tener Organization Owner acceso a una o más organizaciones que delegan la configuración de federación en la instancia.

Procedimiento

Importante

Configuración de dos etapas

Dependiendo del proveedor de identidad, puede aplicarse cierta lógica circular al vincularlo a un proveedor de servicios como Atlas. Para vincular el IdP a Atlas:

  • El proveedor de identidad necesita valores de Atlas y

  • Atlas necesita valores del proveedor de identidad.

Para simplificar la configuración, Atlas solicita introducir valores de marcador de posición para las configuraciones del proveedor de identidad y de Atlas. Se sustituirán estos valores más adelante en el procedimiento.

Configurar una aplicación de Proveedor de Identidad Externo

Para configurar la autenticación federada, debe disponer de una aplicación externa de SAML proveedor de identidad. En el proveedor de identidad SAML, debe realizar lo siguiente:

  1. Crea una nueva aplicación para Atlas.

  2. Configura los valores iniciales de SAML para la nueva aplicación:

    1. Establezca valores de marcador de posición para los siguientes campos:

      • SP Entity ID or Issuer
      • Audience URI
      • Assertion Consumer Service (ACS) URL

    2. Establezca valores válidos para los siguientes campos:

      Campo
      Valor
      Signature Algorithm

      Algoritmo utilizado para cifrar la firma del IdP. Atlas admite los siguientes valores de algoritmo de firma:

      • SHA-1

      • SHA-256

      Name ID

      Dirección de correo electrónico válida.

      IMPORTANTE: Name ID se utiliza tanto como dirección de correo electrónico como nombre de usuario de la cuenta de Atlas user.

      Name ID Format

      • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

      • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

    3. Cree atributos con los siguientes nombres de atributos para los siguientes valores de atributos de SAML:

      Nombre del atributo SAML
      Valor del atributo SAML

      firstName

      Nombre

      lastName

      Apellidos

      memberOf

      Grupos de Usuarios

      Nota

      Los nombres de estos atributos son sensibles a mayúsculas y minúsculas. Escriba estos nombres de atributos tal como se muestra en camelCase.

    4. Guarde estos valores.

Una vez que se haya completado la configuración inicial de la aplicación de IdP, se debe vincular el IdP a Atlas para federar los inicios de sesión de los usuarios.

Aplicar el proveedor de identidad a Atlas

Nota

Requisito previo

Este procedimiento presupone que ya cuenta con un IdP externo. Para saber cómo configurar un IdP, consulte Configurar una aplicación de proveedor de identidad externo.

Puede configurar la Autenticación Federada en Atlas desde el Federation Management Console. Utilice esta consola para:

  • Configura Identity Providers para autenticar a los usuarios pertenecientes a organizaciones especificadas.

  • Se debe conectar Atlas Organizations al IdP.

  • Se debe verificar y asociar Domains con el IdP para obligar a los usuarios a autenticarse usando ese IdP.

Abrir la consola de gestión

1

En Atlas, ir a la consola Federation Management de la Organización.

  1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

  2. En la barra lateral, haz clic en Federation en la sección Identity & Access.

  3. Haga clic en Open Federation Management App.

La página de Federación se muestra.

Desde la Consola de Gestión:

  1. Haga clic en Configure Identity Providers.

  2. Si aún no tienes ningún proveedor de identidad configurado, haz clic en Setup Identity Provider. De lo contrario, en la pantalla Identity Providers, haz clic en Add Identity Provider.

  3. Introduzca o seleccione los siguientes ajustes del protocolo SAML.

    Campo
    Necesidad
    Descripción
    Configuration Name

    Requerido

    Etiqueta legible por humanos que identifica esta configuración.

    Configuration Description

    Opcional

    Etiqueta legible por humanos que describe esta configuración.

    IdP Issuer URI

    Requerido

    Identificador del emisor de la aserción SAML.

    Se debe especificar un valor de marcador de posición para este campo. Se debe obtener el valor real de este campo del IdP una vez que lo se hayan proporcionado los metadatos de Atlas.

    IdP Single Sign-On URL

    Requerido

    URL del receptor de la solicitud de autenticación de SAML.

    Se debe especificar un valor de marcador de posición para este campo. Se debe obtener el valor real de este campo del IdP una vez que lo se hayan proporcionado los metadatos de Atlas.

    IdP Signature Certificate

    Requerido

    Certificación del IdP de llave pública codificada en PEM. Se puede obtener este valor del IdP.

    Puedes:

    • Subir el certificado desde el ordenador, o

    • Pegue el contenido del certificado en un cuadro de texto.

    Request Binding

    Requerido

    Enlace del protocolo de solicitud de autenticación de SAML utilizado para enviar la solicitud de autenticación. Puede ser cualquiera de los siguientes:

    • HTTP POST

    • HTTP REDIRECT

    Response Signature Algorithm

    Requerido

    Algoritmo de respuesta utilizado para firmar la solicitud de autenticación de SAML. Puede ser cualquiera de los siguientes:

    • SHA-256

    • SHA-1

  4. Haga clic en Next.

Configurar el proveedor de identidad con metadatos de Atlas

Tras configurar el IdP en Atlas, se pueden proporcionar los metadatos necesarios de Atlas al IdP.

  1. En la pantalla Identity Provider de Atlas, se debe hacer clic en Download metadata para descargar los metadatos requeridos por el IdP. Atlas proporciona los datos como un archivo .xml.

    Imagen que muestra cómo descargar metadatos

    Nota

    Atlas proporciona los Assertion Consumer Service URL y Audience URI si deseas copiar manualmente y guardar estos valores. Estos valores están incluidos en la descarga de metadatos.

    Nota

    El modelo de confianza de SAML requiere el intercambio de certificados a través de canales confiables durante la configuración y no requiere certificados firmados por una autoridad de certificación (CA). Durante la autenticación federada, todo el tráfico entre MongoDB Atlas y el navegador se transmite a través de TLS utilizando un certificado firmado por una CA. Por lo tanto, metadata.xml proporciona únicamente un certificado autofirmado para la firma de solicitudes y la validación de firmas.

  2. Se deben subir los metadatos al IdP.

    Ahora tienes la información necesaria para sustituir los valores de marcador de posición IdP Issuer URI y IdP Single Sign-On URL establecidos al configurar la asignación inicial de IdP en Atlas.

  3. En Atlas, se deben modificar los valores de los marcadores de posición establecidos para IdP Issuer URI y IdP Single Sign-On URL del IdP vinculado con los valores adecuados del IdP.

  4. Opcionalmente, agregue una URL de RelayState a su proveedor de identidad para enviar a los usuarios a una URL de su elección y evitar redirecciones innecesarias después del inicio de sesión. Se puede utilizar:

    Destino
    URL de RelayState

    MongoDB Atlas

    Login URL generada para la configuración del proveedor de identidad en la aplicación de gestión de federación de Atlas.

    Portal de soporte de MongoDB

    https://auth.mongodb.com/app/salesforce/exk1rw00vux0h1iFz297/sso/saml

    MongoDB University

    https://auth.mongodb.com/home/mongodb_thoughtindustriesstaging_1/0oadne22vtcdV5riC297/alndnea8d6SkOGXbS297

    Foros de MongoDB Community

    https://auth.mongodb.com/home/mongodbexternal_communityforums_3/0oa3bqf5mlIQvkbmF297/aln3bqgadajdHoymn297

    Motor de comentarios de MongoDB

    https://auth.mongodb.com/home/mongodbexternal_uservoice_1/0oa27cs0zouYPwgj0297/aln27cvudlhBT7grX297

    MongoDB JIRA

    https://auth.mongodb.com/app/mongodbexternal_mongodbjira_1/exk1s832qkFO3Rqox297/sso/saml

  5. Regresa a Atlas y haz clic en Finish.

Importante

Una vez que se vincule el IdP a Atlas, se muestra como Inactive en el Federation Management Console hasta que se asigne al menos un dominio al IdP.

Próximos pasos

Después de vincular correctamente el IdP a Atlas, se debe asignar uno o más dominios al proveedor de identidad. Atlas autentica a los usuarios de estos dominios a través del IdP.

Volver

Federado

Next

Domains

En esta página