Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/ /
Configurar autenticación federada
Docs Home
/ /
Seguridad
/
Configurar autenticación federada
Docs Home
/
Gestión
/
Cloud Manager
/
Seguridad
/
Configurar autenticación federada

Configura la autenticación federada desde Microsoft Entra ID

Esta guía te muestra cómo configurar la autenticación federada utilizando Microsoft Entra ID como tu Desplazado personal.

Después de integrar Microsoft Entra ID y Cloud Manager, puedes usar las credenciales de tu empresa para iniciar sesión en Cloud Manager y otros servicios en la nube de MongoDB.

Limitaciones

Cloud Manager no admite la integración de inicio de sesión único para usuarios de bases de datos.

Requisitos previos

Para usar Microsoft Entra ID como un proveedor de identidad para Cloud Manager, debe tener:

  • An Azure subscription. Para obtener una suscripción, visite el portal de Microsoft Azure.

  • Un inquilino de Microsoft Entra ID asociado a la suscripción. Para obtener información sobre cómo configurar un inquilino de Microsoft Entra ID, se puede consultar la Documentación de Microsoft Entra ID.

  • Global Administrator privilegios en tu inquilino de Microsoft Entra ID.

  • Un nombre de dominio personalizado y enrutable.

Procedimientos

Agregar usuarios de dominio

Si aún no lo hiciste, utiliza la consola de Azure para agregar tu nombre de dominio personalizado a Microsoft Entra ID y crear usuarios:

1

Agrega tu dominio personalizado a Microsoft Entra ID

Agrega tu nombre de dominio personalizado a Microsoft Entra ID para crear usuarios que pertenezcan a tu dominio. Después de agregar tu dominio, también debes agregar la información de DNS de Microsoft Entra ID en un registro TXT con tu proveedor de DNS y verificar la configuración.

Para agregar el dominio personalizado a Microsoft Entra ID, se puede consultar la documentación de Azure.

2

Crea usuarios de Microsoft Entra ID.

Si aún no existen, crea usuarios en Microsoft Entra ID a los que quieras conceder acceso a la base de datos. Los usuarios deben pertenecer al dominio personalizado que agregaste a Microsoft Entra ID.

Para crear usuarios de Microsoft Entra ID, se puede consultar la documentación de Azure.

Configura Microsoft Entra ID como proveedor de identidades

Utiliza la consola de Azure para configurar Microsoft Entra ID como un proveedor de identidad SAML. Puedes agregar la aplicación de MongoDB Cloud desde la Galería o configurar una aplicación manualmente.

1

Agrega la aplicación MongoDB Cloud desde la galería.

Para agregar la aplicación MongoDB Cloud a tu tenant de Microsoft Entra ID, consulta la documentación de Azure.

Tip

MongoDB Cloud en Azure Marketplace

2

Asigna usuarios a la aplicación.

Asignar usuarios a la aplicación. Estos usuarios tendrán acceso a Cloud Manager y otros servicios en la nube de MongoDB cuando completes el tutorial.

Para asignar usuarios de Microsoft Entra ID a una aplicación, consulta la documentación de Azure.

3

Navega a la página de configuración de SAML para comenzar a configurar el inicio de sesión único.

Para navegar a la página de configuración de SAML, consulta la documentación de Azure.

4

Establece valores temporales para el identificador y la URL de respuesta.

Para generar un certificado de firma SAML válido, deberás asignar valores temporales a los Identifier y Reply URL para tu aplicación empresarial de Microsoft Entra ID. Si descargas el certificado antes de configurar estos valores, el certificado descargado no será único y deberás descargar el certificado nuevamente después de configurar estos valores.

Para establecer los valores temporales:

  1. Haz clic en Edit en la Sección 1.

  2. Remueve cualquier valor por defecto existente y establece los siguientes valores temporales:

    Configuración
    Valor temporal

    Identifier (Entity ID)

    https://www.okta.com/saml2/service-provider/MongoDBCloud

    Reply URL (Assertion Consumer Service URL).

    https://auth.mongodb.com/sso/saml2/

  3. Haga clic en Save.

  4. Actualiza la página del navegador para asegurarte de que el certificado se haya regenerado.

    La huella digital y la fecha de caducidad del certificado cambian con respecto a los valores que se tenían después de que el identificador temporal y la URL de respuesta se actualizaran por primera vez.

5

Descarga el certificado de firma SAML codificado en Base64.

En la sección SAML Signing Certificate, haz clic en Download junto a Certificate (Base64).

Este certificado de firma lo cargarás en la Federation Management Console de MongoDB más adelante en el tutorial.

6

Opcional: agrega reclamaciones de grupo al token de SAML.

Omite este paso si no vas a utilizarlo Asignación de roles.

Para usar el mapeo de roles, agrega el siguiente reclamo de grupo al token SAML que Microsoft Entra ID envía a Cloud Manager:

  1. Haz clic en Add a group claim. Azure muestra el panel Group Claims.

  2. En Which groups associated with the user should be returned in the claim?, haz clic en Security groups. Los grupos que puedes seleccionar dependen del tipo de grupos que configuraste en tu entorno Azure. Es posible que necesites seleccionar un tipo diferente de grupo para enviar la información adecuada del grupo.

  3. En el menú desplegable Source attribute, selecciona Group Id. Si seleccionas Group Id, Azure envía el ID de objeto del grupo de seguridad y no el nombre del grupo entendible por humanos. Dependiendo de tu entorno de Azure, es posible que tengas la opción de seleccionar un atributo de origen diferente que, en su lugar, envíe el nombre del grupo. Al crear asignaciones de roles en Cloud Manager, empareje los datos de grupo de Azure enviados en la respuesta SAML con el nombre de asignación de roles de MongoDB Atlas configurado.

  4. Haz clic en Customize the name of the group claim de la sección Advanced options.

  5. Establece Name en memberOf.

  6. Deja Namespace en blanco.

  7. Borra Emit groups as role claims.

  8. Haga clic en Save.

7

Copia los valores de los campos Login URL y Microsft Entra ID Identifier.

Pega estos valores en un editor de texto u otra ubicación de fácil acceso.

Estos valores los introduces en MongoDB Federation Management Console más adelante en el tutorial.

1

Agrega una aplicación que no sea de galería a Microsoft Entra ID.

Asigna a la aplicación un nombre descriptivo, como MongoDB-Cloud-Manager.

Para agregar una aplicación que no sea de galería a Microsoft Entra ID, consulta la documentación de Azure.

2

Asigna usuarios a la aplicación.

Asignar usuarios a la aplicación. Estos usuarios tendrán acceso a Cloud Manager y otros servicios en la nube de MongoDB cuando completes el tutorial.

Para asignar usuarios de Microsoft Entra ID a una aplicación, consulta la documentación de Azure.

3

Navega a la página de configuración de SAML para comenzar a configurar el inicio de sesión único.

Para navegar a la página de configuración de SAML, consulta la documentación de Azure.

4

Establece valores temporales para el identificador y la URL de respuesta.

Para generar un certificado de firma SAML válido, debes asignar valores temporales a Identifier y Reply URL para tu aplicación empresarial de Microsoft Entra ID. Si descargas el certificado antes de configurar estos valores, el certificado descargado no será único y tendrás que descargarlo nuevamente después de configurar estos valores.

Para establecer los valores temporales:

  1. Haz clic en Edit en la Sección 1.

  2. Remueve cualquier valor por defecto existente y establece los siguientes valores temporales:

    Configuración
    Valor temporal

    Identifier (Entity ID)

    https://www.okta.com/saml2/service-provider/MongoDBCloud

    Reply URL (Assertion Consumer Service URL).

    https://auth.mongodb.com/sso/saml2/

  3. Haga clic en Save.

  4. Actualiza la página del navegador para asegurarte de que el certificado se haya regenerado.

    La huella digital y la fecha de caducidad del certificado cambian con respecto a los valores que se tenían después de que el identificador temporal y la URL de respuesta se actualizaran por primera vez.

5

Opcional: borra el Additional Claims.

Para simplificar la configuración de SAML, se puede borrar el Additional claims por defecto:

  1. En la sección User Attributes & Claims, haz clic en el icono Edit.

  2. Para cada reclamación en la sección Additional claims, amplía el Context menu y, a continuación, haz clic en Delete.

6

Edita la reclamación obligatoria Unique User Identifier.

Usa los siguientes valores:

  • Choose name identifier format: Unspecified

  • Source: Attribute

  • Source attribute: user.userprincipalname

    Nota

    Dependiendo de tu configuración de Active Directory, el atributo de origen que utilices puede ser diferente. Utilice el atributo de origen que contenga la dirección de correo electrónico completa de un usuario.

Para editar la reclamación requerida Unique User Identifier, consulta la documentación de Azure.

7

Agrega reclamaciones de usuario al token SAML.

Agregue las siguientes reclamaciones de usuario al token SAML que Microsoft Entra ID envía a Cloud Manager:

Importante

Los valores en la columna Nombre distinguen entre mayúsculas y minúsculas. Introdúcelos exactamente como se muestra.

Debes dejar el campo Namespace vacío para todas las reclamaciones de usuarios.

Nombre
Origen
Atributo de origen

firstName

Atributo

user.givenname

lastName

Atributo

user.surname

email

Atributo

user.userprincipalname

Nota

Dependiendo de la configuración de tu Directorio Activo, los atributos de origen que uses podrían ser diferentes. Utiliza los atributos fuente que contengan el primer nombre, apellido y la dirección de correo electrónico completa de una persona usuaria para los reclamos correspondientes.

Para agregar reclamaciones de usuario, consulta la documentación de Azure.

8

Opcional: agrega reclamaciones de grupo al token de SAML.

Omite este paso si no vas a usar la asignación de roles.

Para usar el mapeo de roles, agrega el siguiente reclamo de grupo al token SAML que Microsoft Entra ID envía a Cloud Manager:

  1. Haz clic en Add a group claim. Azure muestra el panel Group Claims.

  2. En Which groups associated with the user should be returned in the claim?, haz clic en Security groups. Los grupos que puedes seleccionar dependen del tipo de grupos que configuraste en tu entorno Azure. Es posible que necesites seleccionar un tipo diferente de grupo para enviar la información adecuada del grupo.

  3. En el menú desplegable Source attribute, selecciona Group Id. Si seleccionas Group Id, Azure envía el ID de objeto del grupo de seguridad y no el nombre del grupo entendible por humanos. Dependiendo de tu entorno de Azure, es posible que tengas la opción de seleccionar un atributo de origen diferente que, en su lugar, envíe el nombre del grupo. Al crear asignaciones de roles en Cloud Manager, empareje los datos de grupo de Azure enviados en la respuesta SAML con el nombre de asignación de roles de MongoDB Atlas configurado.

  4. Haz clic en Customize the name of the group claim de la sección Advanced options.

  5. Establece Name en memberOf.

  6. Deja Namespace en blanco.

  7. Borra Emit groups as role claims.

  8. Haga clic en Save.

9

Verifica que el certificado de firma SAML use SHA-256.

Para verificar que el certificado de firma SAML utiliza el algoritmo de firma SHA-256, consulta la documentación de Azure.

10

Descarga el certificado de firma SAML codificado en Base64.

En la sección SAML Signing Certificate, haz clic en Download junto a Certificate (Base64).

Este certificado de firma lo cargarás en la Federation Management Console de MongoDB más adelante en el tutorial.

11

Copia los valores de los campos Login URL y Microsft Entra ID Identifier.

Pega estos valores en un editor de texto u otra ubicación de fácil acceso.

Estos valores los introduces en MongoDB Federation Management Console más adelante en el tutorial.

Agregar Microsoft Entra ID como proveedor de identidad en Cloud Manager

Utiliza la Federation Management Console y la consola de Azure para agregar Microsoft Entra ID como proveedor de identidad:

1

En MongoDB Cloud Manager, vaya a la página Organization Settings.

  1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

  2. En la barra lateral, haga clic en Organization Settings.

    Se muestra la página Configuración de la organización.

2

Abre el Federation Management Console.

En Manage Federation Settings, haz clic en Visit Federation Management App.

3

Agregar Microsoft Entra ID a Cloud Manager como proveedor de identidad.

  1. Haga clic Add Identity Providers

  2. Si aún no tienes ningún proveedor de identidad configurado, haz clic en Setup Identity Provider. De lo contrario, en la pantalla Identity Providers, haz clic en Add Identity Provider.

  3. Introduce o selecciona los siguientes ajustes del protocolo SAML. Todos los campos son obligatorios:

    Campo
    Descripción

    Configuration Name

    Ingrese un nombre descriptivo, como Microsoft Entra ID.

    IdP Issuer URI

    Pega el Microsoft Entra ID Identifier que copiaste de Azure anteriormente en el tutorial.

    IdP Single Sign-On URL

    Pega el Login URL que copiaste de Azure anteriormente en el tutorial.

    IdP Signature Certificate

    Carga el Base64certificado de firma SAML codificado en que descargaste de Azure anteriormente en el tutorial.

    Puedes:

    • Subir el certificado desde el ordenador, o

    • Pegue el contenido del certificado en un cuadro de texto.

    Request Binding

    Seleccione HTTP POST.

    Response Signature Algorithm

    Seleccione SHA-256.

  4. Haga clic en Next.

4

Descarga el archivo de metadatos con los detalles que reconocen a MongoDB como proveedor de servicios.

  1. Haz clic en Download metadata. Carga este archivo a Microsoft Entra ID en el siguiente paso.

  2. Haga clic en Finish.

5

Carga el archivo de metadatos a Azure para terminar de configurar Microsoft Entra ID como proveedor de identidad.

Para cargar el archivo, consulte la captura de pantalla del paso 3 de "Habilitar el inicio de sesión único para una aplicación" en la documentación de Azure. Haga clic Upload metadata file en en la página de configuración de SSO, como se muestra en la captura de pantalla de la documentación de Azure vinculada.

Opcionalmente, se debe agregar una URL de RelayState al proveedor de identidad para enviar a los usuarios a una URL que se elijan y evitar redirecciones innecesarias después de iniciar sesión. Se puede utilizar:

Destino
URL de RelayState

Administrador de la nube MongoDB MongoDB

El Login URL que se generó para la configuración del proveedor de identidad en la aplicación de gestión de federación de MongoDB Cloud Manager.

Portal de soporte de MongoDB

https://auth.mongodb.com/app/salesforce/exk1rw00vux0h1iFz297/sso/saml

MongoDB University

https://auth.mongodb.com/home/mongodb_thoughtindustriesstaging_1/0oadne22vtcdV5riC297/alndnea8d6SkOGXbS297

Foros de MongoDB Community

https://auth.mongodb.com/home/mongodbexternal_communityforums_3/0oa3bqf5mlIQvkbmF297/aln3bqgadajdHoymn297

Motor de comentarios de MongoDB

https://auth.mongodb.com/home/mongodbexternal_uservoice_1/0oa27cs0zouYPwgj0297/aln27cvudlhBT7grX297

MongoDB JIRA

https://auth.mongodb.com/app/mongodbexternal_mongodbjira_1/exk1s832qkFO3Rqox297/sso/saml

Mapea tu dominio

Vincular tu dominio al proveedor de identidad permite que Cloud Manager sepa que los usuarios de tu dominio deben ser dirigidos a Login URL para la configuración de tu proveedor de identidad.

Cuando los usuarios visitan la página de inicio de sesión de Cloud Manager, ingresan su dirección de correo electrónico. Si el dominio de correo electrónico está asociado con un proveedor de identidad, serán enviados a la URL de inicio de sesión para ese proveedor de identidad.

Importante

Puedes asignar un único dominio a varios proveedores de identidad. Si lo haces, los usuarios que inician sesión con la consola de MongoDB Cloud son redirigidos automáticamente al primer proveedor de identidad que coincida asignado al dominio.

Para iniciar sesión mediante un proveedor de identidad alternativo, debes:

  • Iniciar sesión en MongoDB Cloud a través del proveedor de identidad deseado

  • Inicia sesión con el Login URL asociado al proveedor de identidad deseado.

Utiliza la Federation Management Console para asignar tu dominio al proveedor de identidad:

1
En MongoDB Cloud Manager, vaya a la página Organization Settings.

  1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

  2. En la barra lateral, haga clic en Organization Settings.

    Se muestra la página Configuración de la organización.

2
Abre el Federation Management Console.

En Manage Federation Settings, haz clic en Visit Federation Management App.

3
Ingresa la información de mapeo del dominio.

  1. Haga clic en Add a Domain.

  2. En la pantalla Domains, haz clic en Add Domain.

  3. Ingresa la siguiente información para el mapeo de tu dominio:

    Campo
    Descripción

    Display Name

    Nombre para identificar fácilmente el dominio.

    Nombre de dominio

    Nombre de dominio para asignar.

  4. Haga clic en Next.

4
Elige cómo verificar tu dominio.

Nota

Puedes elegir el método de verificación una vez. No se puede modificar. Para seleccionar otro método de verificación, borra y recrea el mapeo de dominio.

Selecciona la pestaña adecuada en función de si cargarás un archivo HTML o crearás un registro DNS TXT para verificar tu dominio:

Se puede cargar un archivo HTML que contenga una clave de verificación para verificar que se es el propietario del dominio.

  1. Haga clic en HTML File Upload.

  2. Haga clic en Next.

  3. Descargue el archivo mongodb-site-verification.html que proporciona Cloud Manager.

  4. Se puede cargar el archivo HTML en un sitio web del dominio. Se debe poder acceder al archivo en <https://host.domain>/mongodb-site-verification.html.

  5. Haga clic en Finish.

Crea un registro DNS TXT con tu proveedor de dominio para verificar que eres dueño de tu dominio. Cada registro DNS asocia una organización específica de Cloud Manager con un dominio específico.

  1. Haga clic en DNS Record.

  2. Haga clic en Next.

  3. Copia el registro TXT proporcionado. El registro TXT tiene la siguiente forma:

    mongodb-site-verification=<32-character string>

  4. Inicia sesión en tu proveedor de nombre de dominio (como GoDaddy.com o networksolutions.com).

  5. Agregue el registro TXT que Cloud Manager proporciona a su dominio.

  6. Regrese al Administrador de nube y haga clic en Finish.

5
Verifica tu dominio.

La Domains pantalla muestra los dominios verificados y no verificados que has asignado a tu IdP. Para verificar tu dominio, haz clic en el botón del dominio de Verify destino. Cloud Manager muestra si la verificación se realizó correctamente en un banner en la parte superior de la pantalla.

6
Borrar el archivo de registro proporcionado.

Importante

Para evitar una posible vulnerabilidad de seguridad, se debe borrar el archivo de registro proporcionado una vez que se complete la verificación.

Asocia tu dominio con tu proveedor de identidad

Después de verificar correctamente tu dominio, usa la Federation Management Console para asociar el dominio con Microsoft Entra ID:

1
Haz clic en Identity Providers en la navegación izquierda.
2
Para el proveedor de identidad que desea asociar con su dominio, haga clic en junto a Associated Domains.
3
Seleccione el dominio que desea asociar con el proveedor de identidad.
4
Haga clic en Confirm.

Prueba tu asignación de dominio

Importante

Antes de comenzar las pruebas, copie y guarde el Modo SAML de omisión URL para su proveedor de identidad. Usa esta URL para evitar la autenticación federada en caso de que se quede sin acceso a tu organización de Cloud Manager.

Durante las pruebas, mantén iniciada la sesión en la Federation Management Console para evitar bloqueos.

Para aprender más sobre Bypass SAML Mode, consulta Modo de SAML de omisión.

Utiliza Federation Management Console para probar la integración entre tu dominio y Microsoft Entra ID:

1
En una ventana privada del navegador, navegue a la página de inicio de sesión de Cloud Manager.
2
Ingresa un nombre de usuario (generalmente una dirección de correo electrónico) con tu dominio verificado.

Ejemplo

Si tu dominio verificado es mongodb.com, introduce alice@mongodb.com.

3
Haga clic en Next.

Si configuraste correctamente tu dominio, se te redirige a tu proveedor de identidad para autenticarse. Si tu autenticación con tu proveedor de identidad es exitosa, serás redirigido de vuelta a Cloud Manager.

Nota

Puedes omitir la página de inicio de sesión de Cloud Manager accediendo directamente a la página de tu IdP. Login URLLa página Login URL te lleva directamente a tu IdP para autenticarte.

(Opcional) Mapea una organización

Usa el Federation Management Console para asignar a los usuarios de tu dominio el acceso a organizaciones específicas de Cloud Manager:

1

En MongoDB Cloud Manager, vaya a la página Organization Settings.

  1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

  2. En la barra lateral, haga clic en Organization Settings.

    Se muestra la página Configuración de la organización.

2

Abre el Federation Management Console.

En Manage Federation Settings, haz clic en Visit Federation Management App.

3

Conecta una organización a la aplicación de la Federación.

  1. Haga clic en View Organizations.

    Cloud Manager muestra todas las organizaciones donde eres un Organization Owner.

    Las organizaciones que aún no están conectadas a la aplicación de la Federación tienen el botón Connect en la columna Actions.

  2. Haz clic en el botón Connect de la organización deseada.

4

Aplica un proveedor de identidad a la organización.

Desde la pantalla de Organizations en la consola de gestión:

  1. Haga clic en Name de la organización que desea asociar a un proveedor de identidad.

  2. En la pantalla Identity Provider, haz clic en Apply Identity Provider.

    Cloud Manager lo dirige a la Identity Providers pantalla, que muestra todos los IdP que ha vinculado a Cloud Manager.

  3. Para el proveedor de identidad que apliques a la organización, haz clic en Modify.

  4. En la parte inferior del formulario Edit Identity Provider, selecciona las organizaciones a las que se aplica a este proveedor de identidad.

  5. Haga clic en Next.

  6. Haga clic en Finish.

5

Conecta una organización a la aplicación de la Federación.

  1. Haz clic en Organizations en la navegación izquierda.

  2. En la lista de Organizations, asegúrese de que la organización deseada ahora tenga el Identity Provider esperado.

(Opcional) Configura las opciones avanzadas de autenticación federada

Puedes configurar las siguientes opciones avanzadas para la autenticación federada para un mayor control sobre tus usuarios federados y el flujo de autenticación:

Nota

Las siguientes opciones avanzadas para la autenticación federada requieren que asignes una organización.

Inicia sesión en Cloud Manager utilizando tu URL de inicio de sesión

Todos los usuarios asignados a la aplicación de Azure pueden iniciar sesión en Cloud Manager con sus credenciales de Microsoft Entra ID Login URL en. Los usuarios tienen acceso a las organizaciones asignadas a su IdP.

Importante

Puedes asignar un único dominio a varios proveedores de identidad. Si lo haces, los usuarios que inician sesión con la consola de MongoDB Cloud son redirigidos automáticamente al primer proveedor de identidad que coincida asignado al dominio.

Para iniciar sesión mediante un proveedor de identidad alternativo, debes:

  • Iniciar sesión en MongoDB Cloud a través del proveedor de identidad deseado

  • Inicia sesión con el Login URL asociado al proveedor de identidad deseado.

Si selecciona un rol de organización por defecto, los nuevos usuarios que inicien sesión en Cloud Manager usando el Login URL tendrán el rol que especificaste.

Volver

Mapeo de Roles de Cloud Manager

Next

Okta

En esta página