Make the MongoDB docs better! We value your opinion. Share your feedback for a chance to win $100.
MongoDB Branding Shape
Click here >
Docs Menu
Docs Home
/ /
OIDC/OAuth 2.0
Docs Home
/
Desarrollo
/
Autenticación
/
OIDC/OAuth 2.0
Docs Home
/
Desarrollo
/
Autenticación
/
OIDC/OAuth 2.0

Configurar Workforce Identity Federation con OIDC

En MongoDB 7.0 y versiones posteriores, Workforce Identity Federation permite utilizar un proveedor de identidad (IdP) externo, como su proveedor de identidad corporativo, para autenticar y autorizar a miembros del personal determinados, como empleados, socios y contratistas.

Con Workforce Identity Federation, se puede:

  • Gestionar el acceso de la fuerza laboral a las implementaciones de MongoDB a través del proveedor de identidad que se tenga actualmente.

  • Aplicar las políticas de seguridad como la complejidad de contraseñas, la rotación de credenciales y MFA dentro del proveedor de identidad.

  • Otorgar acceso a un grupo de usuarios o a un solo usuario.

Después de configurar al proveedor de identidad externo y agregarlo a Workforce Identity Federation una vez, se puede habilitar el proveedor de identidad de Workforce para múltiples organizaciones de Atlas. Después de habilitar Workforce Identity Federation en una organización determinada, se puede utilizar en todos los proyectos de esa organización para acceder a las bases de datos.

Workforce Identity Federation es compatible con los clústeres dedicados de Atlas (M10 y superiores) que ejecutan la versión 7.0.11 de MongoDB y superiores. Se debe utilizar MongoDB Shell o Compass para acceder a Atlas con Workforce Identity Federation.

Para obtener más información sobre cómo implementar el acceso a Workforce Identity Federation, consulte Conectar un cliente a MongoDB con Workforce Identity Federation.

Acceso requerido

Para administrar la configuración de Workforce Identity Federation, se debe contar con acceso Organization Owner a Atlas.

Procedimientos

Para acceder a los clústeres de Atlas con la Federación de Identidad de la Fuerza Laboral, complete los siguientes pasos:

  1. Configurar un proveedor de identidad de Workforce (configuración única).

    1. Configurar al proveedor de identidad externo.
    2. Configure el Proveedor de Identidad de Workforce en Atlas y actívelo para su(s) organización(es) de Atlas.

  2. Conceda a identidades externas (principales de usuario) o grupos acceso a clústeres de MongoDB.

  3. Autenticar los clústeres Atlas con MongoDB Shell o Compass.

Configurar una aplicación de Proveedor de Identidad Externo

Para configurar Workforce Identity Federation con OIDC, registre su aplicación OIDC con un IdP que admita el estándar OIDC, como Microsoft Entra ID, Okta o Ping Identity.

Nota

Workforce Identity Federation solo brinda soporte a JWT para la autenticación. No brinda soporte para tokens de acceso opacos.

Se puede configurar la aplicación OIDC para los siguientes tipos de concesión:

  • Flujo de código de autorización con PKCE

  • Flujo de autorización de dispositivos

MongoDB recomienda que se utilice el Flujo de códigos de autorización con PKCE para mayor seguridad. Se debe utilizar el Flujo de autorización de dispositivos solo si los usuarios necesitan acceder a la base de datos desde máquinas sin navegador.

Nota

Si tu proveedor de identidades es Microsoft Entra ID y utilizas el Flujo de Autorización de Dispositivos, debes habilitar Allow public client flows en el registro de tu aplicación de Azure. Para aprender a habilitar esta configuración, consulte la documentación de Azure.

Los pasos de registro de la aplicación OIDC pueden variar según el proveedor de identidad. Se debe garantizar que se completan los siguientes elementos durante el proceso de registro:

1

Registrar una nueva aplicación para Atlas.

Seleccione public client/native application como el tipo de cliente.

2

Establecer el valor de Redirect URL en http://localhost:27097/redirect.

3

(Condicional) Agrega o habilita una reclamación groups si te autenticas con grupos.

Para los grupos, este paso garantiza que los tokens de acceso contengan la información de membresía del grupo del usuario que se autentica. MongoDB utiliza los valores enviados en una reclamación de grupos para la autorización.

4

(Opcional) Se puede permitir que se actualicen los tokens si se desea que los clientes de MongoDB actualicen los tokens para una mejor experiencia de usuario.

5

(Opcional) Configurar la vida útil del token de acceso (reclamaciónexp ) para que se alinee con el tiempo de sesión de la conexión a la base de datos.

Después de registrar su aplicación, guarde los issuer clientIdvalores, y para audience usarlos en la siguiente etapa de la configuración de Atlas Workforce IdP.

Para registrar su aplicación OIDC con Microsoft Entra ID:

1

Registre una aplicación.

  1. Ir a App registrations.

    1. En la cuenta del portal de Azure, buscar y hacer clic en Microsoft Entra ID.

    2. En la sección Manage de la navegación izquierda, hacer clic en App registrations.

  2. Haga clic en New registration.

  3. Aplicar los siguientes valores.

    Campo
    Valor

    Name

    Atlas Database - Workforce

    Supported Account Types

    Accounts in this organizational directory only (single tenant)

    Redirect URI

    - Public client/native (mobile & desktop)
    - http://localhost:27097/redirect

  4. Haga clic en Register.

Para aprender más sobre cómo registrar una aplicación, se puede consultar Azure Documentation.

2

Agregar una reclamación de grupo.

  1. Ir a Token Configuration.

    En la sección Manage de la navegación izquierda, hacer clic en Token Configuration.

  2. Haga clic en Add groups claim.

  3. En el cuadro modal Edit groups claim, seleccionar Security groups.

    Los grupos que seleccione dependen del tipo de grupos que haya configurado en su entorno de Azure. Es posible que necesite seleccionar un tipo diferente de grupo para enviar la información de grupo adecuada.

  4. En la sección Customize token properties by type, seleccionar solo Group ID.

  5. Haga clic en Add.

Para aprender más sobre cómo agregar una reclamación de grupo, se puede consultar Documentación de Azure.

3

Agregar una reclamación de identificador de usuario al token de acceso.

  1. Haga clic en Add optional claim.

  2. En el cuadro modal Add optional claim, seleccionar Access.

  3. Seleccionar una reclamación que lleve un identificador de usuario al que se pueda referir en los registros de acceso de MongoDB, como un correo electrónico.

    Se puede usar la reclamación UPN para identificar a los usuarios con su dirección de correo electrónico.

  4. Haga clic en Add.

  5. En la nota Microsoft Graph Permissions, marque la casilla y haga clic en Add.

Para aprender más, se puede consultar la documentación de Azure.

4

Actualizar el manifiesto.

  1. En la sección Manage de la navegación izquierda, hacer clic en Manifest.

  2. Actualizar el requestedAccessTokenVersion de null a 2.

    El número 2 representa la versión 2 de los tokens de acceso de Microsoft. Otras aplicaciones pueden utilizar esto como una declaración firmada de la identidad del usuario gestionado por el Directorio de Active. La versión 2 garantiza que el token sea un JSON Web Token que MongoDB comprenda.

  3. Haga clic en Save.

Para aprender más sobre cómo agregar una reclamación opcional, se puede consultar Documentación de Azure.

5

Recuerde los metadatos.

  1. En la navegación izquierda, hacer clic en Overview.

    Copiar el valor de Application (client) ID.

  2. En la navegación superior, haga clic en Endpoints.

    Copie el valor OpenID Connect metadata document sin la parte /.well-known/openid-configuration.

    También se puede obtener este valor copiando el valor de issuer en la URL OpenID Connect metadata document.

La siguiente tabla muestra cómo se asignan estos valores de la interfaz de usuario de Microsoft Entra ID en nuestras propiedades de configuración de Atlas:

Microsoft Entra ID UI
Propiedad de configuración de Atlas

Application (client) ID

Client ID
Audience

OpenID Connect metadata document (without /.well-known/openid-configuration)

Issuer URI

Para registrar la aplicación OIDC en Okta:

1

Crear una aplicación en Okta.

En tu tablero de Okta Admin, utiliza el panel de navegación izquierdo para ir a Applications → Applications.

  1. En la pantalla Applications, haz clic en Create App Integration.

  2. En la sección Sign-in method, seleccione OIDC - OpenID Connect.

  3. En la sección Application type, seleccione Native Application.

  4. Haga clic en Next.

Para obtener más información, consulta Crear integraciones de aplicaciones OIDC.

2

Configura tu New Native App Integration.

Después de crear una integración de aplicación, se te redirige automáticamente a la pantalla New Native App Integration.

  1. En el campo App integration name, ingresa un nombre para la aplicación.

  2. En el campo Grant type, selecciona los tipos de subvención.

    Habilitar los siguientes tipos de concesión:

    • Authorization Code or Device Authorization

    • (Opcional) Refresh Token

      Habilitar tokens de actualización proporciona una mejor experiencia de usuario. Cuando los tokens de actualización no están habilitados, los usuarios deben reautenticarse con el proveedor de identidad una vez que su token de acceso expire.

  3. En la sección Sign-in redirect URIs, introduce una URL.

    Introduce la siguiente URL: http://localhost:27097/redirect.

  4. En la sección Assignments, configure los campos Controlled access y Enable immediate access.

    1. Para el campo Controlled access, seleccione Allow everyone in your organization to access.

    2. Para el campo Enable immediate access, asegúrate que Enable immediate access with Federation Broker Mode esté marcado.

  5. Haga clic en Save.

Para obtener más información, consulta Crear integraciones de apps OIDC.

3

Configura PKCE y obtén el ID de cliente.

En el panel de su aplicación, vaya a la pestaña General y configure lo siguiente:

  1. En el campo Client ID, haga clic en el icono para copiar el ID de cliente para su uso posterior.

  2. En el campo Proof Key for Code Exchange (PKCE), asegúrese de que Require PKCE as additional verification esté habilitado (marcado por defecto).

4

Agrega un servidor de autorización.

En el panel de navegación izquierdo, ve a Security → API. Haz clic en Add Authorization Server.

  1. En el campo Name ingrese un nombre para su servidor.

  2. En el campo Audience, pega el ID del cliente del paso anterior.

  3. (Opcional) En el campo Description, introduzca una descripción de su servidor.

  4. Haga clic en Save.

Para aprender más, consulta Crear un servidor de autorización.

5

Encuentra y guarda el URI del emisor.

Después de crear tu servidor de autorización, eres redirigido automáticamente a la pantalla de tu servidor de autorización.

En la pestaña Settings, guarda el URI del emisor copiando la primera parte del Metadata URI hasta la sección .well-known. La estructura de URI debe ser similar a: https://trial4238026.okta.com/oauth2/ausabgmhveoOQSMsE697.

6

Agregar Groups reclamo.

En la pantalla de tu servidor de autorización, ve a la pestaña Claims y haz clic en Add Claim.

  1. Configura el reclamo de Groups con la siguiente información de configuración:

    Campo
    Valor

    Name

    Escribe un nombre para tu propuesta.

    Include in token type

    Haz clic en el menú desplegable y selecciona Access Token.

    Value type

    Haz clic en el menú desplegable y selecciona Groups.

    Filter

    Haz clic en el desplegable y selecciona Matches regex. Junto al menú desplegable, introduce .*.

    Disable claim

    No marcar.

    Include in

    Seleccione Any scope.

  2. Haga clic en Create.

Para obtener más información, consulta Crear reclamos.

7

Crea una política de acceso.

En la pantalla de tu servidor de autorización, ve a la pestaña Access Policies y haz clic en Add Policy.

  1. En el campo Name, introduce un nombre de política.

  2. En el campo Description, introduce una descripción de la política.

  3. En el campo Assign to, seleccione All clients.

  4. Haga clic en Create Policy.

Para obtener más información, consulte Crear una política de acceso.

8

Crea una regla para la política de acceso.

En la pestaña Access Policies, haz clic en Add Rule.

  1. En el campo Rule Name, ingresa un nombre para la política de acceso.

  2. Para IF Grant Type is, seleccione un tipo de concesión.

    Al configurar tipos de permisos, seleccione la opción adecuada basada en el comportamiento del cliente:

    • Si el cliente actúa en nombre propio, seleccione Client Credentials.

    • Si el cliente actúa en nombre de un usuario, selecciona lo siguiente:

      • Authorization Code

      • Device Authorization

  3. Agrega configuraciones de reglas basadas en la política de seguridad de tu organización.

    Ejemplo de configuración de regla de Okta:

    Campo

    Valor

    AND user is

    Seleccione Any user assigned to the app.

    AND Scopes requested

    Seleccione Any scopes.

    THEN Use this inline hook

    Ninguna (deshabilitada)

    AND Access token lifetime is

    1 Hours

    AND Refresh token lifetime is

    Haz clic en el segundo desplegable y selecciona Unlimited.

    but will expire if not used every

    Introduce 7 days.

  4. Haga clic en Create Rule.

Para aprender más, consulta Crea Reglas para cada Política de Acceso.

9

Cree un grupo.

En el panel de navegación izquierdo, ve a Directory → Groups y haz clic en Add Group.

  1. En el campo Name, nombrar tu directorio OIDC.

  2. (Opcional) En el campo Description, ingresa una descripción para tu regla.

  3. Haga clic en Save.

    Para aprender más, consulta Crear un Grupo

  4. Sigue la documentación de Okta para asignar manualmente personas al grupo.

10

Agregue un usuario a su organización.

En el panel de navegación izquierdo, ve a Directory → People y haz clic en Add Person.

  1. Proporcione los datos del usuario ingresando los siguientes valores en los campos correspondientes:

    Campo
    Valor

    User type

    Seleccione User.

    First name

    Proporcione el nombre según sea necesario.

    Last name

    Proporcione el nombre según sea necesario.

    Username

    Introduzca un correo electrónico como nombre de usuario.

    Primary email

    Ingrese un correo electrónico. El correo electrónico debe ser el mismo que se utilizó para el campo Username.

    Secondary email

    Opcional.

    Groups

    Introduce OIDC.

    Activation

    Selecciona Activate Now y verifica I will set password.

    Password

    Ingresa una contraseña.

    User must change password on first login

    Seleccionar Optional

  2. Haga clic en Save.

Para obtener más información, consulta Agregar usuarios manualmente.

Configurar la autenticación de la Workforce Identity Federation

Nota

Requisito previo

Este procedimiento requiere acceso y presupone Organization Owner que ya tiene una aplicación OIDC creada en su IdP. Para saber cómo configurar un IdP, consulte Configurar una aplicación de proveedor de identidad externo.

Para configurar un proveedor de identidades de Workforce en Atlas:

1

En Atlas, ir a la consola Federation Management de la Organización.

  1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

  2. En la barra lateral, haz clic en Federation en la sección Identity & Access.

  3. Haga clic en Open Federation Management App.

La página de Federación se muestra.

2

Configurar los proveedores de identidad.

  1. Hacer clic en Identity Providers en la barra lateral izquierda.

  2. Realice uno de los siguientes pasos:

    • Si aún no tiene ningún proveedor de identidad configurado, haga clic en Set Up Identity Provider.

    • De lo contrario, en la pantalla Identity Providers, hacer clic en Configure Identity Provider(s).

  3. Seleccione Workforce Identity Federation y haga clic en Continue.

  4. Seleccione OIDC for Data Access.

3

Introducir la siguiente configuración del protocolo del proveedor de identidad de Workforce.

Configuración
Necesidad
Valor
Configuration Name

Requerido

Etiqueta legible por humanos que identifica esta configuración. Esta etiqueta es visible para los usuarios de Atlas designados.

Configuration Description

Opcional

Etiqueta legible por humanos que describe esta configuración.

Issuer URI

Requerido

Valor del emisor proporcionado por la solicitud del proveedor de identidad registrada. Usando este URI, MongoDB encuentra un documento de configuración del proveedor de OpenID, que debería estar disponible en el endpoint /.wellknown/open-id-configuration.

Client ID

Requerido

Identificador único para la aplicación registrada. Ingresar el valor de clientId de la aplicación que se registró con el proveedor de identidad externo.

Audiencia

Requerido

Entidad para la cual el proveedor de identidad externo destina el token. Ingresar el valor de audience de la aplicación que se registró con el proveedor de identidad externo. Generalmente, este valor es el mismo que el Client ID.

Requested Scopes

Opcional

Tokens que otorgan a los usuarios permiso para realizar una solicitud de datos desde el punto de autorización. Si se planea brindar soporte a tokens de actualización, este campo debe incluir el valor offline_access.

Si el proveedor de identidad es Microsoft Entra ID, Atlas requiere esta configuración. Agregar el alcance por defecto, que es <application client id>/.default.

Para cada ámbito adicional que se desee agregar, hacer clic en Add more scopes.

Tipo de autorización

Requerido

Seleccionar Group Membership para conceder autorización basada en la pertenencia a un grupo de usuarios del proveedor de identidad, o seleccionar User ID para conceder autorización a un usuario individual.

Customize Groups Claim

Requerido

Identificador de la reclamación que incluye la información de membresía del grupo de usuarios del proveedor de identidad del principal. Aceptar el valor por defecto a menos que el proveedor de identidad utilice una reclamación diferente o necesite un reclamo personalizado. Este campo solo es obligatorio si se selecciona Group Membership.

Por defecto: groups

Customize User Claim

Requerido

Identificador de la reclamación que incluye la identidad principal del usuario. Aceptar el valor por defecto a menos que el proveedor de identidad utilice una reclamación diferente.

Por defecto: sub

Si su proveedor de identidad es Microsoft Entra ID y elige User ID como Authorization Type, puede usar uno de los siguientes valores:

  • upnSe utiliza cuando su usuario de base de datos Atlas está configurado con el Nombre Principal de Usuario (UPN).

  • oidSe utiliza cuando el usuario de la base de datos Atlas está configurado con el ID de objeto.

4

Haz clic Save and Finishen.

5

(Opcional) Asociar un dominio al proveedor de identidad Workforce.

Nota

Este paso solo es obligatorio si se necesita conectar varios proveedores de identidad de Workforce a la misma organización con diferentes dominios. Atlas admite un máximo de dos proveedores de identidad de Workforce conectados a una organización: un proveedor de identidad de OIDC (para el acceso a la base de datos) y un proveedor de identidad de SAML (para el acceso a la interfaz de usuario).

  1. En su tarjeta de proveedor de identidad de Workforce, hacer clic en Associate Domains.

  2. En el cuadro modal Associate Domains with Identity Provider, seleccione uno o más dominios.

  3. Haga clic en Submit.

6

Habilitar al proveedor de identidad de Workforce en una organización.

  1. Haga clic en Connect Organizations.

  2. Para la organización a la que desea conectarse con el Proveedor de Identidad de Workforce, haga clic en Configure Access.

  3. Haga clic en Connect Identity Provider.

    Nota

    Si se tiene otro proveedor de identidad configurado, este botón dice Connect Identity Provider(s).

7

Seleccione Workforce Identity Federation for Data Access.

En el modal Connect Identity Provider(s), seleccionar un proveedor de identidad de Workforce donde el Purpose sea Workforce Identity Federation.

8

Haz clic Connecten.

Cuando se conecta el proveedor de identidad de Workforce a una organización, Atlas habilita al proveedor de identidad de Workforce para todos los proyectos dentro de esa organización.

Agregar un usuario de base de datos utilizando la autenticación de Workforce

1

En Atlas, ve a la página Database & Network Access de tu proyecto.

  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

La página Acceso a la base de datos y a la red se muestra.

2

Abre el cuadro de diálogo Add New Database User or Group.

Haga clic en Add New Database User or Group.

Nota

Hasta que se aplique el proveedor de identidad de Workforce a Atlas, este botón dice Add New Database User.

3

Seleccione Federated Auth.

En la sección Authentication Method, seleccione Federated Auth.

Nota

Hasta que habilites Workforce proveedor de identidad para tu organización, no podrás seleccionar esta casilla.

4

Selecciona el proveedor de identidad y el identificador

a. En la sección Select Identity Provider, selecciona un proveedor de identidad OIDC configurado.

  1. Especifica el identificador de usuario o el identificador de grupo asociado con tu proveedor de identidad de Workforce configurado.

Nota

Para los usuarios de Azure Entra ID, este valor se asigna al ID de objeto de su grupo de usuarios de Azure en lugar del nombre del grupo de usuarios.

5

Asigna privilegios de usuario o de grupo.

Para asignar privilegios al nuevo usuario o grupo, realice una o más de las siguientes tareas:

  • Selecciona un rol incorporado del menú desplegable Built-in Role.

    • Puede seleccionar un rol con funcionalidad incorporada por grupo de base de datos en la interfaz de usuario de Atlas.

    • Si borra la opción por defecto, puede hacer clic en Add Built-in Role para seleccionar un nuevo rol con funcionalidad incorporada.

  • Selecciona o agrega roles personalizados.

    • Si tiene roles personalizados definidos, puede expandir la sección Custom Roles y seleccionar uno o más roles del menú desplegable Custom Roles.

    • Haga clic Add Custom Role para añadir más roles personalizados.

    • Se debe hacer clic en el enlace Custom Roles para ver los roles personalizados del proyecto.

  • Add privilegio.

    • Expanda la sección Specific Privileges y seleccione uno o más privilegios del menú desplegable de Specific Privileges.

    • Haga clic en Add Specific Privilege para agregar más privilegios. Esto asigna al grupo privilegios específicos en bases de datos y colecciones individuales.

  • Remueve un rol o privilegio aplicado.

    • Haz clic en Delete junto al

      rol o privilegio que deseas borrar.

    Nota

    Atlas no muestra el icono de Delete junto a la selección de Built-in Role, Custom Role o Specific Privilege si solo se seleccionó una opción. Se puede borrar el rol o privilegio seleccionado una vez que se aplique otro rol o privilegio.

Atlas puede aplicar un rol incorporado, varios roles personalizados y diversos privilegios específicos a un grupo de bases de datos.

Para obtener más información sobre la autorización, consulte Control de accesos en función del rol y Roles con funcionalidad incorporada en el manual de MongoDB.

6

Especifica los recursos del proyecto a los que el usuario o grupo pueden acceder.

Por defecto, los grupos pueden acceder a todos los clústeres e instancias federadas de bases de datos en el proyecto. Para restringir el acceso a clústeres específicos e instancias federadas de bases de datos:

  1. Establece Restrict Access to Specific Clusters/Federated Database Instances en On.

  2. Selecciona los clústeres e instancias federadas de bases de datos para conceder acceso al grupo desde la lista de Grant Access To.

7

Guarda como usuario o grupo temporal.

Cambia Temporary User o Temporary Group a On y elige un tiempo después del cual Atlas puede borrar al usuario o grupo del menú desplegable Temporary User Duration o Temporary Group Duration. Puedes seleccionar uno de los siguientes períodos de tiempo para que el grupo exista:

  • 6 horas

  • 1 día

  • 1 semana

En la pestaña Database Users, los usuarios o grupos temporales muestran el tiempo restante hasta que Atlas borre a los usuarios o al grupo. Después de que Atlas borre al usuario o grupo, cualquier cliente o aplicación que utilice las credenciales temporales del usuario o grupo perderá acceso al clúster.

8

Agrega el nuevo usuario o grupo de base de datos.

Realice uno de los siguientes pasos:

  • Si agregaste un usuario, haz clic en el botón Add User.

  • Si ha agregado un grupo, haga clic en el botón Add Group.

Conecte un cliente a MongoDB con la Federación de Identidad de la Fuerza Laboral

A continuación se enumeran las formas en las que se puede conectar un cliente a MongoDB con la autenticación de Workforce Identity Federation:

Nota

Si configuraste el Flujo de autorización de dispositivos, debes pasar la bandera --oidcFlows=device-auth al conectarte con mongosh. Por ejemplo:

mongosh "<connection-string>" \
  --authenticationMechanism MONGODB-OIDC \
  --oidcFlows=device-auth

Gestionar una configuración existente de la Workforce Identity Federation

Ver configuración del proveedor de identidad de la fuerza laboral

1

En Atlas, ir a la consola Federation Management de la Organización.

  1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

  2. En la barra lateral, haz clic en Federation en la sección Identity & Access.

  3. Haga clic en Open Federation Management App.

La página de Federación se muestra.

2

Haga clic en Identity Providers en la barra lateral izquierda.

Se pueden ver todos los proveedores de identidad configurados y sus detalles.

Actualizar la configuración del proveedor de identidad de la fuerza laboral

1

En Atlas, ir a la consola Federation Management de la Organización.

  1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

  2. En la barra lateral, haz clic en Federation en la sección Identity & Access.

  3. Haga clic en Open Federation Management App.

La página de Federación se muestra.

2

Haga clic en Identity Providers en la barra lateral izquierda.

3

En la tarjeta del Proveedor de Identidad de Workforce, haga clic en el menú desplegable Manage y luego en Edit Configuration.

4

Realizar los cambios y hacer clic en Save.

Vea y gestione organizaciones conectadas

1

En Atlas, ir a la consola Federation Management de la Organización.

  1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

  2. En la barra lateral, haz clic en Federation en la sección Identity & Access.

  3. Haga clic en Open Federation Management App.

La página de Federación se muestra.

2

Haga clic en Organizations en la barra lateral izquierda.

Puede ver todas las organizaciones conectadas y gestionar sus configuraciones.

Revoke JWKS

Nota

Utilizar el siguiente procedimiento solo si se gestionan claves de firma propias.

No utilizar esta característica para rotar las claves de firma. Cuando se rotan las claves de firma del proveedor de identidad de Workforce, MongoDB obtiene el JWKS automáticamente cuando los tokens de acceso existentes expiran.

Si la llave privada está comprometida, se pueden revocar inmediatamente los conjuntos de llaves web JSON (JWKS) almacenados en caché en los nodos de MongoDB:

1

Actualice sus claves de firma en su proveedor de identidad de Workforce.

2

En Atlas, ir a la consola Federation Management de la Organización.

  1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

  2. En la barra lateral, haz clic en Federation en la sección Identity & Access.

  3. Haga clic en Open Federation Management App.

La página de Federación se muestra.

3

Haga clic en Identity Providers en la barra lateral izquierda.

4

Ir hasta la tarjeta del proveedor de identidad de Workforce.

5

Hacer clic en el menú desplegable Manage, luego en Revoke JWKS.

6

Haz clic Revokeen.

Después de hacer clic en Revoke, MongoDB obtiene las nuevas claves a través del endpoint JWKS. Los clientes se deben reiniciar (como mongosh o Compass) después de revocar JWKS.

Borrar una configuración de proveedor de identidad de Workforce

Para borrar la configuración de su proveedor de identidad de Workforce:

1

En Atlas, ir a la consola Federation Management de la Organización.

  1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

  2. En la barra lateral, haz clic en Federation en la sección Identity & Access.

  3. Haga clic en Open Federation Management App.

La página de Federación se muestra.

2

Desconecte cada organización que haya conectado a su Proveedor de Identidad de Workforce.

  1. Hacer clic en Organizations en la barra lateral izquierda.

  2. Hacer clic en la organización que tiene habilitada la Workforce Identity Federation.

  3. Hacer clic en Disconnect en el menú desplegable Manage de la tarjeta de Workforce Identity Federation.

  4. En el cuadro de diálogo Disconnect identity provider?, hacer clic en Disconnect.

    Cuando se desconecte un proveedor de identidad, los usuarios que se autentican usando el proveedor de identidad perderán acceso a la Workforce Identity Federation en los proyectos de Atlas listados en la tabla Project.

3

Haga clic en Identity Providers en la barra lateral izquierda.

4

En la tarjeta del Proveedor de Identidad de Workforce, haga clic en el menú desplegable Manage y luego en Delete Identity Provider.

5

En el cuadro de diálogo Delete Identity Provider?, hacer clic en Delete.

Gestionar Workforce Identity Federation con Atlas CLI

Se puede utilizar el Atlas CLI para gestionar la configuración de Workforce Identity Federation para las organizaciones que se tengan.

Configurar la autenticación de la Workforce Identity Federation

Para crear un proveedor de identidad OIDC usando Atlas CLI, se puede ejecutar el siguiente comando:

atlas federatedAuthentication federationSettings identityProvider create oidc [displayName] [options]

Para aprender más sobre la sintaxis y los parámetros de comandos, se puede consultar la documentación de la Atlas CLI para atlas federatedAuthentication federationSettings identityProvider create oidc.

Habilitar al proveedor de identidad de Workforce en una organización

Para conectar un proveedor de identidad a una organización usando la Atlas CLI, se debe ejecutar el siguiente comando:

atlas federatedAuthentication federationSettings connectedOrgConfigs connect [options]

Para aprender más acerca de la sintaxis de comandos y los parámetros, se puede consultar la documentación de Atlas CLI para atlas federatedAuthentication federationSettings connectedOrgConfigs connect.

Ver configuración del proveedor de identidad de la fuerza laboral

Para listar todos los proveedores de identidad:

Para listar los proveedores de identidad de la configuración de la federación usando el Atlas CLI, se puede ejecutar el siguiente comando:

atlas federatedAuthentication federationSettings identityProvider list [options]

Para aprender más sobre la sintaxis de comandos y los parámetros, se puede consultar la documentación de Atlas CLI para atlas federatedAuthentication federationSettings identityProvider list.

Para visualizar los detalles de un proveedor de identidad específico:

Para describir el proveedor de identidad especificado desde la configuración de su federación usando la Atlas CLI, ejecute el siguiente comando:

atlas federatedAuthentication federationSettings identityProvider describe <identityProviderId> [options]

Para aprender más sobre la sintaxis de comandos y los parámetros, se puede consultar la documentación de Atlas CLI para atlas federatedAuthentication federationSettings identityProvider describe.

Para ver la configuración de federación:

Para devolver los detalles de configuración de federación para la organización especificada usando el Atlas CLI, se debe ejecutar el siguiente comando:

atlas federatedAuthentication federationSettings describe [options]

Para aprender más sobre la sintaxis y los parámetros de los comandos, se puede consultar la documentación de Atlas CLI para atlas federatedAuthentication federationSettings describe.

Actualizar la configuración del proveedor de identidad de la fuerza laboral

Para actualizar un proveedor de identidad OIDC usando el Atlas CLI, se debe ejecutar el siguiente comando:

atlas federatedAuthentication federationSettings identityProvider update oidc [identityProviderId] [options]

Para aprender más sobre la sintaxis y los parámetros del comando, se puede consultar la documentación de Atlas CLI para atlas federatedAuthentication federationSettings identityProvider actualizar oidc.

Vea y gestione organizaciones conectadas

Para listar las organizaciones conectadas:

Para listar las configuraciones de organizaciones conectadas usando la Atlas CLI, se debe ejecutar el siguiente comando:

atlas federatedAuthentication federationSettings connectedOrgConfigs list [options]

Para aprender más sobre la sintaxis y los parámetros del comando, se puede consultar la documentación de Atlas CLI para atlas federatedAuthentication federationSettings connectedOrgConfigs list.

Para ver los detalles de una organización conectada:

Para describir una configuración de organización conectada usando Atlas CLI, se debe ejecutar el siguiente comando:

atlas federatedAuthentication federationSettings connectedOrgConfigs describe [options]

Para aprender más sobre la sintaxis de comandos y los parámetros, se puede consultar la documentación de Atlas CLI para atlas federatedAuthentication federationSettings connectedOrgConfigs describe.

Para actualizar una organización conectada:

Para actualizar una configuración de organización conectada a una configuración de federación usando el Atlas CLI, ejecute el siguiente comando:

atlas federatedAuthentication federationSettings connectedOrgConfigs update [options]

Para aprender más sobre la sintaxis de comandos y los parámetros, se puede consultar la documentación de Atlas CLI para atlas federatedAuthentication federationSettings connectedOrgConfigs update.

Para borrar una organización conectada:

Para borrar una organización de configuración de org conectada usando el Atlas CLI, se puede ejecutar el siguiente comando:

atlas federatedAuthentication federationSettings connectedOrgConfigs delete [options]

Para aprender más sobre la sintaxis y los parámetros del comando, se puede consultar la documentación de Atlas CLI para atlas federatedAuthentication federationSettings connectedOrgConfigs delete.

Revoke JWKS

Para revocar el token JWK del proveedor de identidad especificado desde la configuración de su federación usando el Atlas CLI, se puede ejecutar el siguiente comando:

atlas federatedAuthentication federationSettings identityProvider revokeJwk <identityProviderId> [options]

Para aprender más acerca de la sintaxis y los parámetros del comando, se puede consultar la documentación de Atlas CLI para atlas federatedAuthentication federationSettings identityProvider revokeJwk.

Borrar una configuración de proveedor de identidad de Workforce

Para desconectar una organización:

Para desconectar un proveedor de identidad de una organización usando la Atlas CLI, se puede ejecutar el siguiente comando:

atlas federatedAuthentication federationSettings connectedOrgConfigs disconnect [options]

Para aprender más sobre la sintaxis de comandos y los parámetros, se puede consultar la documentación de Atlas CLI para atlas federatedAuthentication federationSettings connectedOrgConfigs disconnect.

Para borrar el proveedor de identidad:

Para remover el proveedor de identidad especificado de la configuración de la federación usando el Atlas CLI, se debe ejecutar el siguiente comando:

atlas federatedAuthentication federationSettings identityProvider delete <identityProviderId> [options]

Para aprender más sobre la sintaxis de comandos y los parámetros, se puede consultar la documentación de Atlas CLI para atlas federatedAuthentication federationSettings identityProvider delete.

Volver

OIDC/OAuth 2.0

Next

Carga de trabajo (Aplicaciones)

En esta página