Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/ /
Configurar autenticación federada
Docs Home
/ /
Seguridad
/
Configurar autenticación federada
Docs Home
/
Gestión
/
Cloud Manager
/
Seguridad
/
Configurar autenticación federada

Configurar autenticación federada desde Okta

Esta guía te muestra cómo configurar la autenticación federada utilizando Okta como tu Desplazado personal.

Tras integrar Okta y el Cloud Manager, puedes utilizar las credenciales de tu empresa para iniciar sesión en Cloud Manager y otros servicios en la nube de MongoDB.

Nota

Si está utilizando la aplicación MongoDB Cloud incorporada de Okta, puede utilizar la documentación de Okta.

Si estás creando tu propia aplicación SAML, utiliza los procedimientos descritos aquí.

Requisitos previos

Para usar Okta como un proveedor de identidad para Cloud Manager, debes tener:

  • Una cuenta de Okta.

  • Un nombre de dominio personalizado y enrutable.

Procedimientos

Durante el siguiente procedimiento, es útil tener una pestaña del navegador abierta en su Consola de gestión de federación y una pestaña abierta a tu cuenta de Okta.

Configurar Okta como proveedor de identidad

1

Descargue su certificado de origen de Okta.

  1. En tu cuenta de Okta, haz clic en Admin en la esquina superior derecha para acceder al entorno de Administrador.

  2. En el panel izquierdo, navega a Applications -> Applications.

  3. Haz clic en Create App Integration. Selecciona SAML 2.0 para el Sign-in method y haz clic en Next.

  4. Introduce el nombre de la aplicación que desees en el campo de texto App name.

  5. Opcionalmente, agrega una imagen de logotipo y configura la visibilidad de la aplicación. Haz clic en Next.

  6. En la pantalla Configure SAML, ingresa la siguiente información:

    Campo
    Valor

    Single sign-on URL

    http://localhost

    Audience URI

    urn:idp:default

    Importante

    Estos son valores de marcador de posición y no están destinados para su uso en producción. Los reemplazará en un paso posterior.

    Deje los demás campos vacíos o configúrelos con sus valores predeterminados y haga clic en Next en la parte inferior de la página.

  7. En la pantalla Feedback, seleccione I'm an Okta customer adding an internal app y haga clic en Finish.

  8. En la parte inferior de la página, bajo el encabezado SAML Signing Certificates, busque el certificado más nuevo con un Status de Active: este es el certificado que acaba de crear.

    Haga clic en Actions y seleccione Download certificate en el menú desplegable. El certificado generado es un archivo .cert. Debe convertirlo a un certificado .pem para usarlo más adelante en este procedimiento. Para ello, abra una terminal de su elección y ejecute lo siguiente:

    openssl x509 -in path/to/mycert.crt -out path/to/mycert.pem -outform PEM
2

En MongoDB Cloud Manager, vaya a la página Organization Settings.

  1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

  2. En la barra lateral, haga clic en Organization Settings.

    Se muestra la página Configuración de la organización.

3

Abre el Federation Management Console.

En Federated Authentication Settings, haz clic en Open Federation Management App.

4

Proporciona las credenciales de Okta a MongoDB Cloud Manager.

  1. Haga Identity Providers clic en en el panel izquierdo. Si ya configuró un IdP, haga Add Identity Provider clic en en la esquina superior derecha de la página y luego Setup Identity Provider en. Si no ha configurado un IdP, haga clic Setup Identity Provider en.

  2. En la pantalla Configure Identity Provider, ingresa la siguiente información:

    Campo
    Valor

    Configuration Name

    Etiqueta descriptiva que identifica la configuración

    Issuer URI

    Fill with Placeholder Values

    Single Sign-On URL

    Fill with Placeholder Values

    Identity Provider Signature Certificate

    Certificado que recibiste de Okta en un paso anterior

    Request Binding

    HTTP POST

    Response Signature Algorithm

    SHA-256

  3. Haga clic en el botón Next para ver los valores de la configuración de Okta.

  4. Haga clic en Finish.

5

Configure su integración SAML.

  1. En su cuenta de Okta, regrese a la página de su aplicación SAML y asegúrese de que la pestaña General esté seleccionada.

  2. En el panel SAML Settings, haga clic en Edit.

    En la página General Settings, haz clic en Next.

  3. En la pantalla Configure SAML, ingresa la siguiente información:

    Campo de datos de Okta
    Valor

    Single sign on URL

    Assertion Consumer Service URL desde el FMC de MongoDB Cloud Manager.

    Casillas de verificación:

    • Check Use this for Recipient URL and Destination URL.

    • Borra Allow this app to request other SSO URLs.

    Audience URI (SP Entity ID)

    Audience URI desde el FMC de MongoDB Cloud Manager.

    Default RelayState

    Opcionalmente, se debe agregar una URL de RelayState al proveedor de identidad para enviar a los usuarios a una URL que se elijan y evitar redirecciones innecesarias después de iniciar sesión. Se puede utilizar:

    Destino
    URL de RelayState

    Administrador de la nube MongoDB MongoDB

    El Login URL que se generó para la configuración del proveedor de identidad en la aplicación de gestión de federación de MongoDB Cloud Manager.

    Portal de soporte de MongoDB

    https://auth.mongodb.com/app/salesforce/exk1rw00vux0h1iFz297/sso/saml

    MongoDB University

    https://auth.mongodb.com/home/mongodb_thoughtindustriesstaging_1/0oadne22vtcdV5riC297/alndnea8d6SkOGXbS297

    Foros de MongoDB Community

    https://auth.mongodb.com/home/mongodbexternal_communityforums_3/0oa3bqf5mlIQvkbmF297/aln3bqgadajdHoymn297

    Motor de comentarios de MongoDB

    https://auth.mongodb.com/home/mongodbexternal_uservoice_1/0oa27cs0zouYPwgj0297/aln27cvudlhBT7grX297

    MongoDB JIRA

    https://auth.mongodb.com/app/mongodbexternal_mongodbjira_1/exk1s832qkFO3Rqox297/sso/saml

    Name ID format

    No especificado

    Application username

    Correo electrónico

    Update application username on

    Crear y actualizar

  4. Haz clic en el enlace Click Show Advanced Settings en la página de configuración de Okta y asegúrate de que se hayan establecido los siguientes valores:

    Campo de datos de Okta
    Valor

    Response

    Signed

    Assertion Signature

    Signed

    Signature Algorithm

    RSA-SHA256

    Digest Algorithm

    SHA256

    Assertion Encryption

    Unencrypted

  5. Deje los Advanced Settings campos restantes en su estado por defecto.

  6. Desplácese hasta la sección Attribute Statements (optional) y cree cuatro atributos con los siguientes valores:

    Nombre
    Formato del nombre
    Valor

    firstName

    No especificado

    user.firstName

    lastName

    No especificado

    user.lastName

    Importante

    Los valores en la columna Nombre distinguen entre mayúsculas y minúsculas. Introdúcelos exactamente como se muestra.

    Nota

    Estos valores pueden ser diferentes si Okta está conectado a un Active
    Directorio. Para obtener los valores adecuados, utilice los campos de Active Directory que contienen el nombre, apellido y dirección de correo electrónico completa del usuario.

  7. (Opcional) Si planeas usar mapeo de roles, desplázate hasta la sección Group Attribute Statements (optional) y crea un atributo con los siguientes valores:

    Nombre
    Formato del nombre
    filtro
    Valor

    memberOf

    No especificado

    Coincide con expresiones regulares

    .*

    Este filtro coincide con todos los nombres de grupo asociados con el usuario. Para filtrar aún más los nombres de grupo enviados a MongoDB Cloud Manager, ajusta los campos Filter y Value.

  8. Haz clic en Next en la parte inferior de la página.

  9. En la pantalla Feedback, haz clic en Finish.

6

Reemplace los valores de marcador de posición en MongoDB Cloud Manager FMC.

  1. En la página de la aplicación Okta, haz clic en View Setup Instructions en el centro de la página.

  2. En el FMC de MongoDB Cloud Manager, navegue a la página Identity Providers. Ubique su Okta y haga clic en Edit.

  3. Reemplace los valores de los marcadores de posición en los siguientes campos:

    Campo de datos FMC
    Valor

    Issuer URI

    Identity Provider Issuer valor de la página de instrucciones de configuración de Okta.

    Single Sign-on URL

    Identity Provider Single Sign-On URL valor de la página de instrucciones de configuración de Okta.

    Identity Provider Signature Certificate

    Copia el X.509 Certificate de la página de instrucciones de configuración de Okta y pega el contenido directamente.

  4. Haga clic en Next.

  5. Haga clic en Finish.

7

Asigne usuarios a su aplicación de Okta.

  1. En la página de aplicaciones de Okta, haz clic en la pestaña Assignments.

  2. Asegúrese de que todos los usuarios de su organización MongoDB Cloud Manager que utilizarán Okta estén inscritos.

Mapea tu dominio

Vincular tu dominio al proveedor de identidad permite que Cloud Manager sepa que los usuarios de tu dominio deben ser dirigidos a Login URL para la configuración de tu proveedor de identidad.

Cuando los usuarios visitan la página de inicio de sesión de Cloud Manager, ingresan su dirección de correo electrónico. Si el dominio de correo electrónico está asociado con un proveedor de identidad, serán enviados a la URL de inicio de sesión para ese proveedor de identidad.

Importante

Puedes asignar un único dominio a varios proveedores de identidad. Si lo haces, los usuarios que inician sesión con la consola de MongoDB Cloud son redirigidos automáticamente al primer proveedor de identidad que coincida asignado al dominio.

Para iniciar sesión mediante un proveedor de identidad alternativo, debes:

  • Iniciar sesión en MongoDB Cloud a través del proveedor de identidad deseado

  • Inicia sesión con el Login URL asociado al proveedor de identidad deseado.

Utiliza la Federation Management Console para asignar tu dominio al proveedor de identidad:

1
En MongoDB Cloud Manager, vaya a la página Organization Settings.

  1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

  2. En la barra lateral, haga clic en Organization Settings.

    Se muestra la página Configuración de la organización.

2
Abre el Federation Management Console.

En Manage Federation Settings, haz clic en Visit Federation Management App.

3
Ingresa la información de mapeo del dominio.

  1. Haga clic en Add a Domain.

  2. En la pantalla Domains, haz clic en Add Domain.

  3. Ingresa la siguiente información para el mapeo de tu dominio:

    Campo
    Descripción

    Display Name

    Nombre para identificar fácilmente el dominio.

    Nombre de dominio

    Nombre de dominio para asignar.

  4. Haga clic en Next.

4
Elige cómo verificar tu dominio.

Nota

Puedes elegir el método de verificación una vez. No se puede modificar. Para seleccionar otro método de verificación, borra y recrea el mapeo de dominio.

Selecciona la pestaña adecuada en función de si cargarás un archivo HTML o crearás un registro DNS TXT para verificar tu dominio:

Se puede cargar un archivo HTML que contenga una clave de verificación para verificar que se es el propietario del dominio.

  1. Haga clic en HTML File Upload.

  2. Haga clic en Next.

  3. Descargue el archivo mongodb-site-verification.html que proporciona Cloud Manager.

  4. Se puede cargar el archivo HTML en un sitio web del dominio. Se debe poder acceder al archivo en <https://host.domain>/mongodb-site-verification.html.

  5. Haga clic en Finish.

Crea un registro DNS TXT con tu proveedor de dominio para verificar que eres dueño de tu dominio. Cada registro DNS asocia una organización específica de Cloud Manager con un dominio específico.

  1. Haga clic en DNS Record.

  2. Haga clic en Next.

  3. Copia el registro TXT proporcionado. El registro TXT tiene la siguiente forma:

    mongodb-site-verification=<32-character string>

  4. Inicia sesión en tu proveedor de nombre de dominio (como GoDaddy.com o networksolutions.com).

  5. Agregue el registro TXT que Cloud Manager proporciona a su dominio.

  6. Regrese al Administrador de nube y haga clic en Finish.

5
Verifica tu dominio.

La Domains pantalla muestra los dominios verificados y no verificados que has asignado a tu IdP. Para verificar tu dominio, haz clic en el botón del dominio de Verify destino. Cloud Manager muestra si la verificación se realizó correctamente en un banner en la parte superior de la pantalla.

6
Borrar el archivo de registro proporcionado.

Importante

Para evitar una posible vulnerabilidad de seguridad, se debe borrar el archivo de registro proporcionado una vez que se complete la verificación.

Asocia tu dominio con tu proveedor de identidad

Después de verificar exitosamente su dominio, use Federation Management Console para asociar el dominio con Okta:

1
Haz clic en Identity Providers en la navegación izquierda.
2
Para el proveedor de identidad que desea asociar con su dominio, haga clic en junto a Associated Domains.
3
Seleccione el dominio que desea asociar con el proveedor de identidad.
4
Haga clic en Confirm.

Prueba tu asignación de dominio

Importante

Antes de comenzar las pruebas, copie y guarde el Modo SAML de omisión URL para su proveedor de identidad. Usa esta URL para evitar la autenticación federada en caso de que se quede sin acceso a tu organización de Cloud Manager.

Durante las pruebas, mantén iniciada la sesión en la Federation Management Console para evitar bloqueos.

Para aprender más sobre Bypass SAML Mode, consulta Modo de SAML de omisión.

Utilice el Federation Management Console para probar la integración entre su dominio y Okta:

1
En una ventana privada del navegador, navegue a la página de inicio de sesión de Cloud Manager.
2
Ingresa un nombre de usuario (generalmente una dirección de correo electrónico) con tu dominio verificado.

Ejemplo

Si tu dominio verificado es mongodb.com, introduce alice@mongodb.com.

3
Haga clic en Next.

Si configuraste correctamente tu dominio, se te redirige a tu proveedor de identidad para autenticarse. Si tu autenticación con tu proveedor de identidad es exitosa, serás redirigido de vuelta a Cloud Manager.

Nota

Puedes omitir la página de inicio de sesión de Cloud Manager accediendo directamente a la página de tu IdP. Login URLLa página Login URL te lleva directamente a tu IdP para autenticarte.

(Opcional) Mapea una organización

Usa el Federation Management Console para asignar a los usuarios de tu dominio el acceso a organizaciones específicas de Cloud Manager:

1

En MongoDB Cloud Manager, vaya a la página Organization Settings.

  1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

  2. En la barra lateral, haga clic en Organization Settings.

    Se muestra la página Configuración de la organización.

2

Abre el Federation Management Console.

En Manage Federation Settings, haz clic en Visit Federation Management App.

3

Conecta una organización a la aplicación de la Federación.

  1. Haga clic en View Organizations.

    Cloud Manager muestra todas las organizaciones donde eres un Organization Owner.

    Las organizaciones que aún no están conectadas a la aplicación de la Federación tienen el botón Connect en la columna Actions.

  2. Haz clic en el botón Connect de la organización deseada.

4

Aplica un proveedor de identidad a la organización.

Desde la pantalla de Organizations en la consola de gestión:

  1. Haga clic en Name de la organización que desea asociar a un proveedor de identidad.

  2. En la pantalla Identity Provider, haz clic en Apply Identity Provider.

    Cloud Manager lo dirige a la Identity Providers pantalla, que muestra todos los IdP que ha vinculado a Cloud Manager.

  3. Para el proveedor de identidad que apliques a la organización, haz clic en Modify.

  4. En la parte inferior del formulario Edit Identity Provider, selecciona las organizaciones a las que se aplica a este proveedor de identidad.

  5. Haga clic en Next.

  6. Haga clic en Finish.

5

Conecta una organización a la aplicación de la Federación.

  1. Haz clic en Organizations en la navegación izquierda.

  2. En la lista de Organizations, asegúrese de que la organización deseada ahora tenga el Identity Provider esperado.

(Opcional) Configura las opciones avanzadas de autenticación federada

Puedes configurar las siguientes opciones avanzadas para la autenticación federada para un mayor control sobre tus usuarios federados y el flujo de autenticación:

Nota

Las siguientes opciones avanzadas para la autenticación federada requieren que asignes una organización.

Inicia sesión en Cloud Manager utilizando tu URL de inicio de sesión

Todos los usuarios asignados a la aplicación Okta pueden iniciar sesión en Cloud Manager usando sus credenciales de Okta en el Login URL. Los usuarios tienen acceso a las organizaciones que asoció a su proveedor de identidad.

Importante

Puedes asignar un único dominio a varios proveedores de identidad. Si lo haces, los usuarios que inician sesión con la consola de MongoDB Cloud son redirigidos automáticamente al primer proveedor de identidad que coincida asignado al dominio.

Para iniciar sesión mediante un proveedor de identidad alternativo, debes:

  • Iniciar sesión en MongoDB Cloud a través del proveedor de identidad deseado

  • Inicia sesión con el Login URL asociado al proveedor de identidad deseado.

Si selecciona un rol de organización por defecto, los nuevos usuarios que inicien sesión en Cloud Manager usando el Login URL tendrán el rol que especificaste.

Volver

Microsoft Entra ID

Next

Opciones avanzadas

En esta página