El Connector de MongoDB para BI admite los siguientes mecanismos de autenticación para autenticar con MongoDB y autenticar a los usuarios que se conectan:
SCRAM-SHA-1SCRAM-SHA-256PLAIN(LDAP)GSSAPI(Kerberos)
El BI Connector (mongosqld) utiliza credenciales de administrador para autenticarse con MongoDB y datos de muestra para generar el esquema del Conector BI. Cuando un cliente se conecta al BI Connector, mongosqld pasa las credenciales del cliente que se conecta a MongoDB para autenticación y mostrará y restringirá los datos según los permisos del usuario que se conecta.
Las siguientes secciones lo guiarán a través de la configuración del BI Connector para autenticar su implementación de MongoDB, la configuración de la autenticación de los usuarios que se conectan a BI Connector y cómo se deben formatear los nombres de usuario desde su herramienta de BI utilizando opciones de autenticación.
Autenticación de MongoDB
Si la autenticación está habilitada en tu implementación de MongoDB, debes configurar el BI Connector para usar el mecanismo de autenticación requerido y proporcionar las credenciales del usuario administrador. Las credenciales del usuario administrador deben estar autorizadas para ver el conjunto completo de datos que deseas consultar usando BI Connector.
Nota
Para obtener información sobre cómo configurar SCRAM en tu implementación de MongoDB, consulta SCRAM.
Para habilitar el desafío y respuesta (SCRAM-SHA-1) como mecanismo de autenticación de BI Connector para MongoDB, debes añadir las siguientes configuraciones a tu archivo de configuración mongosqld:
mongodb: net: auth: username: <admin-username> password: <admin-password> source: <auth-db-name> mechanism: "SCRAM-SHA-1"
Para obtener más información sobre las configuraciones del archivo de host de MongoDB, consulta:
Nota
Para obtener información sobre cómo configurar LDAP en tu implementación de MongoDB, consulta Autenticación de Proxy LDAP.
Para habilitar LDAP (PLAIN) como su mecanismo de autenticación de BI Connector para MongoDB, debe añadir las siguientes configuraciones en su archivo de configuraciones mongosqld:
mongodb: net: auth: username: <admin-username> password: <admin-password> mechanism: "PLAIN"
Para obtener más información sobre las configuraciones del archivo de host de MongoDB, consulta:
Para habilitar Kerberos (GSSAPI) como su mecanismo de autenticación BI Connector para MongoDB, debe agregar la siguiente configuración al archivo de configuración mongosqld:
mongodb: net: auth: username: <admin-username> password: <admin-password> mechanism: "GSSAPI"
Para obtener más información sobre las configuraciones del archivo de host de MongoDB, consulta:
Para obtener más información sobre la configuración de Kerberos, consulte Configurar Kerberos para BI Connector.
Autenticación del conector BI
Para habilitar “Challenge and Response” (SCRAM-SHA-1) como su mecanismo de autenticación BI Connector, se debe agregar security.enabled : true al archivo de configuración mongosqld:
security: enabled: true
SCRAM-SHA-1 es el mecanismo de autenticación por defecto cuando mechanism no se especifica en el nombre de usuario y la seguridad está habilitada. Si quieres omitir source del nombre de usuario, añade y establece security.defaultSource : <authenticationDatabase> en el archivo de configuración:
security: enabled: true defaultSource: "admin"
Para obtener más información sobre la configuración del archivo de configuración del BI Connector, consulta:
Para habilitar LDAP (PLAIN) como su mecanismo de autenticación del BI Connector, debe agregar security.enabled : true a su archivo de configuración mongosqld:
security: enabled: true
Si desea omitir la adición de mechanism y source al nombre de usuario, añada y configure estos pares de opción/valor en su archivo de configuración mongosqld:
security.defaultMechanism: PLAINsecurity.defaultSource: $external
El bloque de seguridad resultante en tu archivo de configuración de mongosqld debería verse así:
security: enabled: true defaultMechanism: "PLAIN" defaultSource: "$external"
Para obtener más información sobre la configuración del archivo de configuración del BI Connector, consulta:
Para habilitar Kerberos (GSSAPI) como mecanismo de autenticación del BI Connector, debes añadir security.enabled : true a tu archivo de configuración de mongosqld:
security: enabled: true
Si desea omitir la adición de mechanism y source al nombre de usuario, añada y configure estos pares de opción/valor en su archivo de configuración mongosqld:
security.defaultMechanism: GSSAPIsecurity.defaultSource: $external
El bloque de seguridad resultante en tu archivo de configuración de mongosqld debería verse así:
security: enabled: true defaultMechanism: "GSSAPI" defaultSource: "$external" gssapi: hostname: "<yourHostname>" serviceName: "mongosql"
Para obtener más información sobre la configuración del archivo de configuración del BI Connector, consulta:
Para obtener más información sobre la configuración de Kerberos, consulte Configurar Kerberos para BI Connector.
Autenticación de Cliente
Si tu herramienta de BI está usando el MongoDB BI Connector ODBC Driver, el controlador gestionará la autenticación y no necesitas instalar un plugin de autenticación. Si no está utilizando el controlador MongoDB BI Connector ODBC y necesita autenticarse usando su herramienta de BI, instale el plugin de autenticación C o JDBC, dependiendo de cuál sea compatible con su herramienta de BI:
- plugin de autenticación en C
- Instrucciones para instalar el plugin de autenticación C, que facilita la autenticación entre el BI Connector y clientes de SQL como Tableau y la MySQL shell.
- Plugin de autenticación JDBC
- Instrucciones para instalar el Plugin de Autenticación JDBC.
Para obtener más información sobre cómo conectar herramientas de BI al BI Connector, consulta Conectar herramientas de BI.
Importante
Se recomienda el uso de TLS/SSL además del uso de un plugin de autenticación porque:
Los mecanismos
SCRAM-SHA-1ySCRAM-SHA-256emplean el hashing de las contraseñas en el plugin del cliente. Sin embargo, todos los demás datos están en texto claro.El mecanismo
PLAINenvía la contraseña en texto claro.
El MongoDB Connector for BI requiere autenticación cuando se ejecuta con --auth. Cuando el Connector para BI de MongoDB recibe una conexión con credenciales de autenticación desde un cliente, transmite dichas credenciales a la instancia subyacente de MongoDB.
Opciones de autenticación
Puedes especificar las siguientes opciones de autenticación después de tu nombre de usuario como parámetros de query con estilo URI:
Opción de conexión | Descripción |
|---|---|
| Se debe especificar el nombre de la base de datos que almacena las credenciales del usuario. Si no especificas esta opción, el Conector MongoDB para BI tomará por defecto la base de datos actual asociada con la conexión MySQL. Para mecanismos de autenticación como No es necesario si |
| Especifica el mecanismo que el Connector de MongoDB para BI debe usar para autenticar la conexión. Los valores aceptados incluyen:
LDAP y Kerberos requieren MongoDB Enterprise. Configura la fuente en No es necesario si X.509 no es compatible. |
Ejemplo
El siguiente ejemplo muestra cómo formatear un nombre de usuario para autenticarse con el BI Connector usando Desafío y Respuesta (nombre de usuario y contraseña), LDAP o Kerberos:
Por ejemplo, para autenticarte como usuario grace usando la base de datos admin y el mecanismo de autenticación desafío y Response (SCRAM-SHA-1), escribe el nombre de usuario en este formato:
grace?source=admin
Por ejemplo, para autenticarse como usuario grace con el mecanismo de autenticación LDAP (PLAIN), escribe el nombre de usuario en este formato:
grace?mechanism=PLAIN&source=$external
Por ejemplo, para autenticarse como usuario grace en el EXAMPLE.COM realm Kerberos
con el mecanismo de autenticación Kerberos, escribe el nombre de usuario en este formato:
grace@EXAMPLE.COM?mechanism=GSSAPI&source=$external
Para obtener más información sobre la configuración de Kerberos, consulte Configurar Kerberos para BI Connector.