El conector MongoDB para BI admite los siguientes mecanismos de autenticación para autenticarse con MongoDB y para autenticar usuarios que se conectan:
SCRAM-SHA-1SCRAM-SHA-256PLAIN(LDAP)GSSAPI(Kerberos)
El BI Connector (mongosqld) utiliza credenciales de administrador para autenticarse con MongoDB y datos de muestra para generar el esquema del Conector de BI. Cuando un cliente se conecta al Conector de BI, mongosqld transfiere las credenciales del cliente a MongoDB para su autenticación y muestra y restringe los datos según los permisos del usuario conectado.
Las siguientes secciones lo guiarán a través de la configuración del BI Connector para autenticar su implementación de MongoDB, la configuración de la autenticación de los usuarios que se conectan a BI Connector y cómo se deben formatear los nombres de usuario desde su herramienta de BI utilizando opciones de autenticación.
Autenticación de MongoDB
Si la autenticación está habilitada en tu implementación de MongoDB, debes configurar el BI Connector para usar el mecanismo de autenticación requerido y proporcionar las credenciales del usuario administrador. Las credenciales del usuario administrador deben estar autorizadas para ver el conjunto completo de datos que deseas consultar usando BI Connector.
Nota
Para obtener información sobre cómo configurar SCRAM en tu implementación de MongoDB, consulta SCRAM.
Para habilitar el desafío y respuesta (SCRAM-SHA-1) como mecanismo de autenticación de BI Connector para MongoDB, debes añadir las siguientes configuraciones a tu archivo de configuración mongosqld:
mongodb: net: auth: username: <admin-username> password: <admin-password> source: <auth-db-name> mechanism: "SCRAM-SHA-1"
Para obtener más información sobre las configuraciones del archivo de host de MongoDB, consulta:
Nota
Para obtener información sobre cómo configurar LDAP en su implementación de MongoDB, consulte Autenticación de proxy LDAP.
Para habilitar LDAP ()PLAIN como su mecanismo de autenticación de BI Connector para MongoDB, debe agregar las siguientes configuraciones a su archivo de configuración de mongosqld:
mongodb: net: auth: username: <admin-username> password: <admin-password> mechanism: "PLAIN"
Para obtener más información sobre las configuraciones del archivo de host de MongoDB, consulta:
Para habilitar Kerberos (GSSAPI) como su mecanismo de autenticación BI Connector para MongoDB, debe agregar la siguiente configuración al archivo de configuración mongosqld:
mongodb: net: auth: username: <admin-username> password: <admin-password> mechanism: "GSSAPI"
Para obtener más información sobre las configuraciones del archivo de host de MongoDB, consulta:
Para obtener más información sobre la configuración de Kerberos, consulte Configurar Kerberos para BI Connector.
Autenticación del conector BI
Para habilitar “Challenge and Response” (SCRAM-SHA-1) como su mecanismo de autenticación BI Connector, se debe agregar security.enabled : true al archivo de configuración mongosqld:
security: enabled: true
SCRAM-SHA-1 es el mecanismo de autenticación por defecto cuando mechanism no se especifica en el nombre de usuario y la seguridad está habilitada. Si quieres omitir source del nombre de usuario, añade y establece security.defaultSource : <authenticationDatabase> en el archivo de configuración:
security: enabled: true defaultSource: "admin"
Para obtener más información sobre la configuración del archivo de configuración del BI Connector, consulta:
Para habilitar LDAP ()PLAIN como su mecanismo de autenticación de BI Connector, debe agregar security.enabled : true a su archivo de configuración de mongosqld:
security: enabled: true
Si desea omitir la adición de mechanism y source al nombre de usuario, añada y configure estos pares de opción/valor en su archivo de configuración mongosqld:
security.defaultMechanism: PLAINsecurity.defaultSource: $external
El bloque de seguridad resultante en tu archivo de configuración de mongosqld debería verse así:
security: enabled: true defaultMechanism: "PLAIN" defaultSource: "$external"
Para obtener más información sobre la configuración del archivo de configuración del BI Connector, consulta:
Para habilitar Kerberos (GSSAPI) como mecanismo de autenticación del BI Connector, debes añadir security.enabled : true a tu archivo de configuración de mongosqld:
security: enabled: true
Si desea omitir la adición de mechanism y source al nombre de usuario, añada y configure estos pares de opción/valor en su archivo de configuración mongosqld:
security.defaultMechanism: GSSAPIsecurity.defaultSource: $external
El bloque de seguridad resultante en tu archivo de configuración de mongosqld debería verse así:
security: enabled: true defaultMechanism: "GSSAPI" defaultSource: "$external" gssapi: hostname: "<yourHostname>" serviceName: "mongosql"
Para obtener más información sobre la configuración del archivo de configuración del BI Connector, consulta:
Para obtener más información sobre la configuración de Kerberos, consulte Configurar Kerberos para BI Connector.
Autenticación del cliente
Si tu herramienta de BI está usando el MongoDB BI Connector ODBC Driver, el controlador gestionará la autenticación y no necesitas instalar un plugin de autenticación. Si no está utilizando el controlador MongoDB BI Connector ODBC y necesita autenticarse usando su herramienta de BI, instale el plugin de autenticación C o JDBC, dependiendo de cuál sea compatible con su herramienta de BI:
- plugin de autenticación en C
- Instrucciones para instalar el complemento de autenticación C, que facilita la autenticación entre el conector de BI y los clientes SQL, como Tableau y el shell MySQL.
- Plugin de autenticación JDBC
- Instrucciones para instalar el Plugin de Autenticación JDBC.
Para obtener más información sobre cómo conectar herramientas de BI al BI Connector, consulta Conectar herramientas de BI.
Importante
Se recomienda el uso de TLS/SSL además del uso de un plugin de autenticación porque:
Los mecanismos
SCRAM-SHA-1ySCRAM-SHA-256emplean el hashing de las contraseñas en el plugin del cliente. Sin embargo, todos los demás datos están en texto claro.El mecanismo
PLAINenvía la contraseña en texto claro.
El MongoDB Connector for BI requiere autenticación cuando se ejecuta con --auth. Cuando el Connector para BI de MongoDB recibe una conexión con credenciales de autenticación desde un cliente, transmite dichas credenciales a la instancia subyacente de MongoDB.
Opciones de autenticación
Puedes especificar las siguientes opciones de autenticación después de tu nombre de usuario como parámetros de query con estilo URI:
Opción de conexión | Descripción |
|---|---|
| Se debe especificar el nombre de la base de datos que almacena las credenciales del usuario. Si no especificas esta opción, el Conector MongoDB para BI tomará por defecto la base de datos actual asociada con la conexión MySQL. Para mecanismos de autenticación como No es necesario si |
| Especifica el mecanismo que el Connector de MongoDB para BI debe usar para autenticar la conexión. Los valores aceptados incluyen:
LDAP y Kerberos requieren MongoDB Enterprise. Configure el origen en No es necesario si X.509 no es compatible. |
Ejemplo
El siguiente ejemplo muestra cómo formatear un nombre de usuario para autenticarse con el BI Connector usando Desafío y Respuesta (nombre de usuario y contraseña), LDAP o Kerberos:
Por ejemplo, para autenticarte como usuario grace usando la base de datos admin y el mecanismo de autenticación desafío y Response (SCRAM-SHA-1), escribe el nombre de usuario en este formato:
grace?source=admin
Por ejemplo, para autenticarse como usuario grace con el mecanismo de autenticación LDAP (PLAIN), escribe el nombre de usuario en este formato:
grace?mechanism=PLAIN&source=$external
Por ejemplo, para autenticarse como usuario grace en el EXAMPLE.COM dominio Kerberos
Con el mecanismo de autenticación Kerberos, escriba el nombre de usuario en este formato:
grace@EXAMPLE.COM?mechanism=GSSAPI&source=$external
Para obtener más información sobre la configuración de Kerberos, consulte Configurar Kerberos para BI Connector.