Docs Menu
Docs Home
/ /
Configurar la autenticación federada
Docs Home
/ /
Seguridad
/
Configurar la autenticación federada
Docs Home
/
Gestión
/
Cloud Manager
/
Seguridad
/
Configurar la autenticación federada

Configurar autenticación federada desde Okta

Esta guía le muestra cómo configurar la autenticación federada usando Okta como su Desplazado personal.

Después de integrar Okta y Cloud Manager, puede usar las credenciales de su empresa para iniciar sesión en Cloud Manager y otros servicios en la nube de MongoDB.

Nota

Si está utilizando la aplicación MongoDB Cloud incorporada de Okta, puede utilizar la documentación de Okta.

Si está creando su propia aplicación SAML, utilice los procedimientos que se describen aquí.

Requisitos previos

Para usar Okta como un proveedor de identidad para Cloud Manager, debes tener:

  • Una cuenta Okta.

  • Un nombre de dominio personalizado y enrutable.

Procedimientos

Durante el siguiente procedimiento, es útil tener una pestaña del navegador abierta en su Consola de administración de la federación y una pestaña abierta en su cuenta de Okta.

Configurar Okta como proveedor de identidad

1

Descargue su certificado de originación de Okta.

  1. En su cuenta de Okta, haga clic en Admin en la esquina superior derecha para acceder al entorno de Administrador.

  2. En el panel izquierdo, navegue a Applications -> Applications.

  3. Haga clic en Create App Integration. Seleccione SAML 2.0 para Sign-in method y haga clic en Next.

  4. Complete el campo de texto App name con el nombre de la aplicación deseada.

  5. Opcionalmente, agrega una imagen de logotipo y configura la visibilidad de la aplicación. Haz clic en Next.

  6. En la pantalla Configure SAML, ingrese la siguiente información:

    Campo
    Valor

    Single sign-on URL

    http://localhost

    Audience URI

    urn:idp:default

    Importante

    Estos son valores de marcador de posición y no están destinados a usarse en producción. Los reemplazará más adelante.

    Deje los demás campos vacíos o configúrelos con sus valores predeterminados y haga clic en Next en la parte inferior de la página.

  7. En la pantalla Feedback, seleccione I'm an Okta customer adding an internal app y haga clic en Finish.

  8. En la parte inferior de la página, bajo el encabezado SAML Signing Certificates, busque el certificado más nuevo con un Status de Active: este es el certificado que acaba de crear.

    Haga clic en Actions y seleccione Download certificate en el menú desplegable. El certificado generado es un archivo .cert. Debe convertirlo a un certificado .pem para usarlo más adelante en este procedimiento. Para ello, abra una terminal de su elección y ejecute lo siguiente:

    openssl x509 -in path/to/mycert.crt -out path/to/mycert.pem -outform PEM
2

En MongoDB Cloud Manager, vaya a la Organization Settings página.

  1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

  2. En la barra lateral, haga clic en Organization Settings.

    Se muestra la página Configuración de la organización.

3

Abra Federation Management Console el.

En Federated Authentication Settings, haz clic en Open Federation Management App.

4

Proporcione las credenciales de Okta a MongoDB Cloud Manager.

  1. Haga Identity Providers clic en en el panel izquierdo. Si ya configuró un IdP, haga Add Identity Provider clic en en la esquina superior derecha de la página y luego Setup Identity Provider en. Si no ha configurado un IdP, haga clic Setup Identity Provider en.

  2. En la pantalla Configure Identity Provider, ingrese la siguiente información:

    Campo
    Valor

    Configuration Name

    Etiqueta descriptiva que identifica la configuración

    Issuer URI

    Fill with Placeholder Values

    Single Sign-On URL

    Fill with Placeholder Values

    Identity Provider Signature Certificate

    Certificado que recibiste de Okta en un paso anterior

    Request Binding

    HTTP POST

    Response Signature Algorithm

    SHA-256

  3. Haga clic en el botón Next para ver los valores de la configuración de Okta.

  4. Haga clic en Finish.

5

Configure su integración SAML.

  1. En su cuenta de Okta, regrese a la página de su aplicación SAML y asegúrese de que la pestaña General esté seleccionada.

  2. En el panel SAML Settings, haga clic en Edit.

    En la página General Settings, haz clic en Next.

  3. En la pantalla Configure SAML, ingrese la siguiente información:

    Campo de datos de Okta
    Valor

    Single sign on URL

    Assertion Consumer Service URL del FMC de MongoDB Cloud Manager.

    Casillas de verificación:

    • Check Use this for Recipient URL and Destination URL.

    • Borra Allow this app to request other SSO URLs.

    Audience URI (SP Entity ID)

    Audience URI del FMC de MongoDB Cloud Manager.

    Default RelayState

    Opcionalmente, se debe agregar una URL de RelayState al proveedor de identidad para enviar a los usuarios a una URL que se elijan y evitar redirecciones innecesarias después de iniciar sesión. Se puede utilizar:

    Destino
    URL de RelayState

    Administrador de la nube MongoDB MongoDB

    El Login URL que se generó para la configuración de su proveedor de identidad en la aplicación de administración de federación de MongoDB Cloud Manager.

    Portal de soporte de MongoDB

    https://auth.mongodb.com/app/salesforce/exk1rw00vux0h1iFz297/sso/saml

    MongoDB University

    https://auth.mongodb.com/home/mongodb_thoughtindustriesstaging_1/0oadne22vtcdV5riC297/alndnea8d6SkOGXbS297

    Foros de MongoDB Community

    https://auth.mongodb.com/home/mongodbexternal_communityforums_3/0oa3bqf5mlIQvkbmF297/aln3bqgadajdHoymn297

    Motor de comentarios de MongoDB

    https://auth.mongodb.com/home/mongodbexternal_uservoice_1/0oa27cs0zouYPwgj0297/aln27cvudlhBT7grX297

    MongoDB JIRA

    https://auth.mongodb.com/app/mongodbexternal_mongodbjira_1/exk1s832qkFO3Rqox297/sso/saml

    Name ID format

    Sin especificar

    Application username

    Correo electrónico

    Update application username on

    Crear y actualizar

  4. Haga clic en el enlace Click Show Advanced Settings en la página de configuración de Okta y asegúrese de que estén configurados los siguientes valores:

    Campo de datos de Okta
    Valor

    Response

    Signed

    Assertion Signature

    Signed

    Signature Algorithm

    RSA-SHA256

    Digest Algorithm

    SHA256

    Assertion Encryption

    Unencrypted

  5. Deje los Advanced Settings campos restantes en su estado predeterminado.

  6. Desplácese hacia abajo hasta la sección Attribute Statements (optional) y cree cuatro atributos con los siguientes valores:

    Nombre
    Formato del nombre
    Valor

    firstName

    Sin especificar

    user.firstName

    lastName

    Sin especificar

    user.lastName

    Importante

    Los valores en la columna Nombre distinguen entre mayúsculas y minúsculas. Introdúcelos exactamente como se muestra.

    Nota

    Estos valores pueden ser diferentes si Okta está conectado a un dispositivo activo.
    Directorio. Para obtener los valores adecuados, utilice los campos de Active Directory que contienen el nombre, apellido y dirección de correo electrónico completa del usuario.

  7. (Opcional) Si planea utilizar la asignación de roles, desplácese hacia abajo hasta la Group Attribute Statements (optional) sección y cree un atributo con los siguientes valores:

    Nombre
    Formato del nombre
    filtro
    Valor

    miembro de

    Sin especificar

    Coincide con expresiones regulares

    .*

    Este filtro coincide con todos los nombres de grupo asociados al usuario. Para filtrar aún más los nombres de grupo enviados a MongoDB Cloud Manager, ajuste los campos Filter y Value.

  8. Haga clic en Next en la parte inferior de la página.

  9. En la pantalla Feedback, haz clic en Finish.

6

Reemplazar valores de marcador de posición en el FMC de MongoDB Cloud Manager.

  1. En la página de la aplicación Okta, haga clic en View Setup Instructions en el medio de la página.

  2. En MongoDB Cloud Manager FMC, dirígete a la Identity Providers página. Localiza tu Okta y haz clic Edit en.

  3. Reemplace los valores de marcador de posición en los siguientes campos:

    Campo de datos FMC
    Valor

    Issuer URI

    Identity Provider Issuer valor de la página de instrucciones de configuración de Okta.

    Single Sign-on URL

    Identity Provider Single Sign-On URL valor de la página de instrucciones de configuración de Okta.

    Identity Provider Signature Certificate

    Copie el X.509 Certificate de la página de instrucciones de configuración de Okta y pegue el contenido directamente.

  4. Haga clic en Next.

  5. Haga clic en Finish.

7

Asigna usuarios a tu aplicación Okta.

  1. En la página de aplicaciones de Okta, haz clic en la pestaña Assignments.

  2. Asegúrese de que todos los usuarios de su organización MongoDB Cloud Manager que utilizarán Okta estén inscritos.

Mapea tu dominio

Al asignar su dominio al IdP, Cloud Manager sabe que los usuarios de su dominio deben ser dirigidos a para la configuración de su Login URL proveedor de identidad.

Cuando los usuarios visitan la página de inicio de sesión de Cloud Manager, introducen su dirección de correo electrónico. Si el dominio de correo electrónico está asociado a un proveedor de identidad (IdP), se les redirige a la URL de inicio de sesión de dicho proveedor.

Importante

Puedes asignar un único dominio a varios proveedores de identidad. Si lo haces, los usuarios que inician sesión con la consola de MongoDB Cloud son redirigidos automáticamente al primer proveedor de identidad que coincida asignado al dominio.

Para iniciar sesión mediante un proveedor de identidad alternativo, debes:

  • Iniciar sesión en MongoDB Cloud a través del proveedor de identidad deseado

  • Inicia sesión con el Login URL asociado al proveedor de identidad deseado.

Utiliza la Federation Management Console para asignar tu dominio al proveedor de identidad:

1
En MongoDB Cloud Manager, vaya a la Organization Settings página.

  1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

  2. En la barra lateral, haga clic en Organization Settings.

    Se muestra la página Configuración de la organización.

2
Abra Federation Management Console el.

En Manage Federation Settings, haz clic en Visit Federation Management App.

3
Ingresa la información de mapeo del dominio.

  1. Haga clic en Add a Domain.

  2. En la pantalla Domains, haz clic en Add Domain.

  3. Ingresa la siguiente información para el mapeo de tu dominio:

    Campo
    Descripción

    Display Name

    Nombre para identificar fácilmente el dominio.

    Nombre de dominio

    Nombre de dominio para asignar.

  4. Haga clic en Next.

4
Elige cómo verificar tu dominio.

Nota

Puedes elegir el método de verificación una vez. No se puede modificar. Para seleccionar otro método de verificación, borra y recrea el mapeo de dominio.

Selecciona la pestaña adecuada en función de si cargarás un archivo HTML o crearás un registro DNS TXT para verificar tu dominio:

Se puede cargar un archivo HTML que contenga una clave de verificación para verificar que se es el propietario del dominio.

  1. Haga clic en HTML File Upload.

  2. Haga clic en Next.

  3. Descargue el archivo mongodb-site-verification.html que proporciona Cloud Manager.

  4. Se puede cargar el archivo HTML en un sitio web del dominio. Se debe poder acceder al archivo en <https://host.domain>/mongodb-site-verification.html.

  5. Haga clic en Finish.

Crea un registro DNS TXT con tu proveedor de dominio para verificar que eres el propietario de tu dominio. Cada registro DNS asocia una organización específica de Cloud Manager con un dominio específico.

  1. Haga clic en DNS Record.

  2. Haga clic en Next.

  3. Copia el registro TXT proporcionado. El registro TXT tiene la siguiente forma:

    mongodb-site-verification=<32-character string>

  4. Inicia sesión en tu proveedor de nombre de dominio (como GoDaddy.com o networksolutions.com).

  5. Agregue el registro TXT que Cloud Manager proporciona a su dominio.

  6. Regrese al Administrador de nube y haga clic en Finish.

5
Verifica tu dominio.

La Domains pantalla muestra los dominios verificados y no verificados que has asignado a tu IdP. Para verificar tu dominio, haz clic en el botón del dominio de Verify destino. Cloud Manager muestra si la verificación se realizó correctamente en un banner en la parte superior de la pantalla.

6
Borrar el archivo de registro proporcionado.

Importante

Para evitar una posible vulnerabilidad de seguridad, se debe borrar el archivo de registro proporcionado una vez que se complete la verificación.

Asocia tu dominio con tu proveedor de identidad

Después de verificar exitosamente su dominio, use Federation Management Console para asociar el dominio con Okta:

1
Haga clic en en la navegación izquierda.Identity Providers
2
Para el IdP que desea asociar con su dominio, Associated Domainshaga clic en junto a.
3
Seleccione el dominio que desea asociar con el IdP.
4
Haga clic en Confirm.

Prueba tu asignación de dominio

Importante

Antes de comenzar las pruebas, copie y guarde la URL de omisión del modo SAML para su IdP. Úsela para omitir la autenticación federada en caso de que se le bloquee el acceso a su organización de Cloud Manager.

Durante las pruebas, mantén iniciada la sesión en la Federation Management Console para evitar bloqueos.

Para aprender más sobre Bypass SAML Mode, consulta Modo de SAML de omisión.

Utilice el Federation Management Console para probar la integración entre su dominio y Okta:

1
En una ventana privada del navegador, navegue a la página de inicio de sesión de Cloud Manager.
2
Ingresa un nombre de usuario (generalmente una dirección de correo electrónico) con tu dominio verificado.

Ejemplo

Si su dominio verificado es mongodb.com, ingrese alice@mongodb.com.

3
Haga clic en Next.

Si asignaste tu dominio correctamente, serás redirigido a tu IdP para autenticarte. Si la autenticación con tu IdP es correcta, serás redirigido de nuevo a Cloud Manager.

Nota

Puedes omitir la página de inicio de sesión de Cloud Manager accediendo directamente a la página de tu IdP. Login URLLa página Login URL te lleva directamente a tu IdP para autenticarte.

(Opcional) Mapea una organización

Utilice Federation Management Console para asignar a los usuarios de su dominio acceso a organizaciones específicas de Cloud Manager:

1

En MongoDB Cloud Manager, vaya a la Organization Settings página.

  1. Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.

  2. En la barra lateral, haga clic en Organization Settings.

    Se muestra la página Configuración de la organización.

2

Abra Federation Management Console el.

En Manage Federation Settings, haz clic en Visit Federation Management App.

3

Conecta una organización a la aplicación de la Federación.

  1. Haga clic en View Organizations.

    Cloud Manager muestra todas las organizaciones en las que eres Organization Owner un.

    Las organizaciones que aún no están conectadas a la aplicación de la Federación tienen el botón Connect en la columna Actions.

  2. Haz clic en el botón Connect de la organización deseada.

4

Aplica un proveedor de identidad a la organización.

Desde la pantalla Organizations en la consola de administración:

  1. Haga Name clic en el de la organización que desea asignar a un IdP.

  2. En la pantalla Identity Provider, haz clic en Apply Identity Provider.

    Cloud Manager lo dirige a la Identity Providers pantalla, que muestra todos los IdP que ha vinculado a Cloud Manager.

  3. Para el proveedor de identidad que apliques a la organización, haz clic en Modify.

  4. En la parte inferior del Edit Identity Provider formulario, seleccione las organizaciones a las que se aplica este IdP.

  5. Haga clic en Next.

  6. Haga clic en Finish.

5

Conecta una organización a la aplicación de la Federación.

  1. Haz clic en Organizations en la navegación izquierda.

  2. En la lista de Organizations, asegúrese de que la organización deseada ahora tenga el Identity Provider esperado.

(Opcional) Configura las opciones avanzadas de autenticación federada

Puedes configurar las siguientes opciones avanzadas para la autenticación federada para un mayor control sobre tus usuarios federados y el flujo de autenticación:

Nota

Las siguientes opciones avanzadas para la autenticación federada requieren que asignes una organización.

Inicia sesión en Cloud Manager utilizando tu URL de inicio de sesión

Todos los usuarios asignados a la aplicación Okta pueden iniciar sesión en Cloud Manager con sus credenciales de Okta Login URL en. Los usuarios tienen acceso a las organizaciones que asignaste a tu IdP.

Importante

Puedes asignar un único dominio a varios proveedores de identidad. Si lo haces, los usuarios que inician sesión con la consola de MongoDB Cloud son redirigidos automáticamente al primer proveedor de identidad que coincida asignado al dominio.

Para iniciar sesión mediante un proveedor de identidad alternativo, debes:

  • Iniciar sesión en MongoDB Cloud a través del proveedor de identidad deseado

  • Inicia sesión con el Login URL asociado al proveedor de identidad deseado.

Si selecciona un rol de organización por defecto, los nuevos usuarios que inicien sesión en Cloud Manager usando el Login URL tendrán el rol que especificaste.

Volver

Microsoft Entra ID

Next

Opciones avanzadas

En esta página