Configurar Workforce Identity Federation con OIDC

Registrar una nueva aplicación para Atlas.

Seleccionar public client/native application como el tipo de cliente.

Establezca el Redirect URL valor http://localhost:27097/redirect en.

(Condicional) Agregue o habilite un groups reclamo si se autentica con grupos.

Para los grupos, este paso garantiza que los tokens de acceso contengan la información de membresía del grupo del usuario que se autentica. MongoDB utiliza los valores enviados en una reclamación de grupos para la autorización.

(Opcional) Se puede permitir que se actualicen los tokens si se desea que los clientes de MongoDB actualicen los tokens para una mejor experiencia de usuario.

(Opcional) Configurar la vida útil del token de acceso (reclamaciónexp ) para que se alinee con el tiempo de sesión de la conexión a la base de datos.

Registre una aplicación.

1. Ir a App registrations.

   1. En su portal de Azurecuenta, busque y Microsoft Entra ID haga clic en.

   2. En la sección Manage de la navegación izquierda, hacer clic en App registrations.

2. Haga clic en New registration.

3. Aplicar los siguientes valores.

   Campo	Valor
   Name	Atlas Database - Workforce
   Supported Account Types	Accounts in this organizational directory only (single tenant)
   Redirect URI	- Public client/native (mobile & desktop) - http://localhost:27097/redirect

4. Haga clic en Register.

Para aprender más sobre cómo registrar una aplicación, se puede consultar Azure Documentation.

Agregar una reclamación de grupo.

1. Ir a Token Configuration.

   En la sección Manage de la navegación izquierda, hacer clic en Token Configuration.

2. Haga clic en Add groups claim.

3. En el cuadro modal Edit groups claim, seleccionar Security groups.

   Los grupos que seleccione dependen del tipo de grupos que haya configurado en su entorno de Azure. Es posible que necesite seleccionar un tipo diferente de grupo para enviar la información de grupo adecuada.

4. En la sección Customize token properties by type, seleccionar solo Group ID.

5. Haga clic en Add.

Para aprender más sobre cómo agregar una reclamación de grupo, se puede consultar Documentación de Azure.

Agregar una reclamación de identificador de usuario al token de acceso.

1. Haga clic en Add optional claim.

2. En el cuadro modal Add optional claim, seleccionar Access.

3. Seleccionar una reclamación que lleve un identificador de usuario al que se pueda referir en los registros de acceso de MongoDB, como un correo electrónico.

   Se puede usar la reclamación UPN para identificar a los usuarios con su dirección de correo electrónico.

4. Haga clic en Add.

5. En la nota Microsoft Graph Permissions, marque la casilla y haga clic en Add.

Para aprender más, se puede consultar la documentación de Azure.

Actualizar el manifiesto.

1. En la sección Manage de la navegación izquierda, hacer clic en Manifest.

2. Actualizar el requestedAccessTokenVersion de null a 2.

   El número 2 representa la versión 2 de los tokens de acceso de Microsoft. Otras aplicaciones pueden utilizar esto como una declaración firmada de la identidad del usuario gestionado por el Directorio de Active. La versión 2 garantiza que el token sea un JSON Web Token que MongoDB comprenda.

3. Haga clic en Save.

Para aprender más sobre cómo agregar una reclamación opcional, se puede consultar Documentación de Azure.

Recuerde los metadatos.

1. En la navegación izquierda, hacer clic en Overview.

   Copiar el valor de Application (client) ID.

2. En la navegación superior, haga clic en Endpoints.

   Copie el valor OpenID Connect metadata document sin la parte /.well-known/openid-configuration.

   También se puede obtener este valor copiando el valor de issuer en la URL OpenID Connect metadata document.

La siguiente tabla muestra cómo se asignan estos valores de la interfaz de usuario de Microsoft Entra ID en nuestras propiedades de configuración de Atlas:

En Atlas, ir a la consola Federation Management de la Organización.

1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

2. En la barra lateral, haz clic en Federation en la sección Identity & Access.

3. Haga clic en Open Federation Management App.

La página de Federación se muestra.

Configurar los proveedores de identidad.

1. Hacer clic en Identity Providers en la barra lateral izquierda.

2. Realice uno de los siguientes pasos:

   • Si aún no tiene ningún proveedor de identidad configurado, haga clic en Set Up Identity Provider.

   • De lo contrario, en la pantalla Identity Providers, hacer clic en Configure Identity Provider(s).

3. Seleccione Workforce Identity Federation y haga clic en Continue.

4. Seleccione OIDC for Data Access.

Introducir la siguiente configuración del protocolo del proveedor de identidad de Workforce.

Haga clic en Save and Finish.

(Opcional) Asocie un dominio a su IdP de Workforce.

1. En su tarjeta de proveedor de identidad de Workforce, hacer clic en Associate Domains.

2. En el cuadro modal Associate Domains with Identity Provider, seleccione uno o más dominios.

3. Haga clic en Submit.

Habilitar al proveedor de identidad de Workforce en una organización.

1. Haga clic en Connect Organizations.

2. Para la organización a la que desea conectarse con el Proveedor de Identidad de Workforce, haga clic en Configure Access.

3. Haga clic en Connect Identity Provider.

   Nota

   Si se tiene otro proveedor de identidad configurado, este botón dice Connect Identity Provider(s).

Seleccione Workforce Identity Federation for Data Access.

En el modal Connect Identity Provider(s), seleccionar un proveedor de identidad de Workforce donde el Purpose sea Workforce Identity Federation.

Haga clic en Connect.

Cuando se conecta el proveedor de identidad de Workforce a una organización, Atlas habilita al proveedor de identidad de Workforce para todos los proyectos dentro de esa organización.

En Atlas, ve a la página Database & Network Access de tu proyecto.

1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

La página Acceso a la base de datos y a la red se muestra.

Abrir el cuadro de diálogo Add New Database User or Group.

Haga clic en Add New Database User or Group.

Seleccione Federated Auth.

En la sección Authentication Method, seleccione Federated Auth.

Selecciona el proveedor de identidad y el identificador

a. En la sección Select Identity Provider, seleccionar un proveedor de identidad OIDC configurado.

1. Especifica el identificador de usuario o el identificador de grupo asociado con tu proveedor de identidad de Workforce configurado.

Asigna privilegios de usuario o de grupo.

Para asignar privilegios al nuevo usuario o grupo, realice una o más de las siguientes tareas:

• Seleccione un rol integrado en el Built-in Role menú desplegable.

  • Puede seleccionar un rol con funcionalidad incorporada por grupo de base de datos en la interfaz de usuario de Atlas.

  • Si borra la opción por defecto, puede hacer clic en Add Built-in Role para seleccionar un nuevo rol con funcionalidad incorporada.

• Selecciona o agrega roles personalizados.

  • Si tiene roles personalizados definidos, puede expandir la sección Custom Roles y seleccionar uno o más roles del menú desplegable Custom Roles.

  • Haga clic Add Custom Role para añadir más roles personalizados.

  • Se debe hacer clic en el enlace Custom Roles para ver los roles personalizados del proyecto.

• Añadir privilegios.

  • Expanda la sección Specific Privileges y seleccione uno o más privilegios del menú desplegable de Specific Privileges.

  • Haga clic en Add Specific Privilege para agregar más privilegios. Esto asigna al grupo privilegios específicos en bases de datos y colecciones individuales.

• Remueve un rol o privilegio aplicado.

  • Haz clic en Delete junto al

    rol o privilegio que deseas borrar.

  Nota

  Atlas no muestra el icono de Delete junto a la selección de Built-in Role, Custom Role o Specific Privilege si solo se seleccionó una opción. Se puede borrar el rol o privilegio seleccionado una vez que se aplique otro rol o privilegio.

Atlas puede aplicar un rol incorporado, varios roles personalizados y diversos privilegios específicos a un grupo de bases de datos.

Para obtener más información sobre la autorización, consulte Control de accesos en función del rol y Roles con funcionalidad incorporada en el manual de MongoDB.

Especifica los recursos del proyecto a los que el usuario o grupo pueden acceder.

Por defecto, los grupos pueden acceder a todos los clústeres e instancias federadas de bases de datos en el proyecto. Para restringir el acceso a clústeres específicos e instancias federadas de bases de datos:

1. Establece Restrict Access to Specific Clusters/Federated Database Instances en On.

2. Selecciona los clústeres e instancias federadas de bases de datos para conceder acceso al grupo desde la lista de Grant Access To.

Guarda como usuario o grupo temporal.

Cambia Temporary User o Temporary Group a On y elige un tiempo después del cual Atlas puede borrar al usuario o grupo del menú desplegable Temporary User Duration o Temporary Group Duration. Puedes seleccionar uno de los siguientes períodos de tiempo para que el grupo exista:

• 6 horas

• 1 día

• 1 semana

En la pestaña Database Users, los usuarios o grupos temporales muestran el tiempo restante hasta que Atlas borre a los usuarios o al grupo. Después de que Atlas borre al usuario o grupo, cualquier cliente o aplicación que utilice las credenciales temporales del usuario o grupo perderá acceso al clúster.

Agrega el nuevo usuario o grupo de base de datos.

Realice uno de los siguientes pasos:

• Si agregaste un usuario, haz clic en el botón Add User.

• Si ha agregado un grupo, haga clic en el botón Add Group.

En Atlas, ir a la consola Federation Management de la Organización.

1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

2. En la barra lateral, haz clic en Federation en la sección Identity & Access.

3. Haga clic en Open Federation Management App.

La página de Federación se muestra.

Haga clic en Identity Providers en la barra lateral izquierda.

Se pueden ver todos los proveedores de identidad configurados y sus detalles.

En Atlas, ir a la consola Federation Management de la Organización.

1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

2. En la barra lateral, haz clic en Federation en la sección Identity & Access.

3. Haga clic en Open Federation Management App.

La página de Federación se muestra.

Haga clic en Identity Providers en la barra lateral izquierda.

En la tarjeta del Proveedor de Identidad de Workforce, haga clic en el menú desplegable Manage y luego en Edit Configuration.

Realice sus cambios y haga clic Save en.

En Atlas, ir a la consola Federation Management de la Organización.

1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

2. En la barra lateral, haz clic en Federation en la sección Identity & Access.

3. Haga clic en Open Federation Management App.

La página de Federación se muestra.

Haga clic en Organizations en la barra lateral izquierda.

Puede ver todas las organizaciones conectadas y gestionar sus configuraciones.

Actualice sus claves de firma en su proveedor de identidad de Workforce.

En Atlas, ir a la consola Federation Management de la Organización.

1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

2. En la barra lateral, haz clic en Federation en la sección Identity & Access.

3. Haga clic en Open Federation Management App.

La página de Federación se muestra.

Haga clic en Identity Providers en la barra lateral izquierda.

Ir hasta la tarjeta del proveedor de identidad de Workforce.

Haga clic en el Manage menú desplegable y luego Revoke JWKS en.

Haga clic en Revoke.

Después de hacer clic en Revoke, MongoDB obtiene las nuevas claves a través del endpoint JWKS. Los clientes se deben reiniciar (como mongosh o Compass) después de revocar JWKS.

En Atlas, ir a la consola Federation Management de la Organización.

1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

2. En la barra lateral, haz clic en Federation en la sección Identity & Access.

3. Haga clic en Open Federation Management App.

La página de Federación se muestra.

Desconecte cada organización que haya conectado a su Proveedor de Identidad de Workforce.

1. Hacer clic en Organizations en la barra lateral izquierda.

2. Hacer clic en la organización que tiene habilitada la Workforce Identity Federation.

3. Hacer clic en Disconnect en el menú desplegable Manage de la tarjeta de Workforce Identity Federation.

4. En el cuadro de diálogo Disconnect identity provider?, hacer clic en Disconnect.

   Cuando se desconecte un proveedor de identidad, los usuarios que se autentican usando el proveedor de identidad perderán acceso a Workforce Identity Federation en los proyectos de Atlas listados en la tabla Project.

Haga clic en Identity Providers en la barra lateral izquierda.

En la tarjeta del Proveedor de Identidad de Workforce, haga clic en el menú desplegable Manage y luego en Delete Identity Provider.

En el cuadro de diálogo Delete Identity Provider?, hacer clic en Delete.