Puede configurar opciones avanzadas en su instancia de autenticación federada para tener un mayor control sobre sus usuarios federados y el flujo de autenticación.
Acceso a la gestión de la federación
Puede administrar la autenticación federada desde el Federation
Management ConsolePuedes acceder a la consola siempre que seas un
Organization Owner en una o más organizaciones que están delegando configuraciones de federación a la instancia.
Para abrir el Federation Management Console:
En MongoDB Cloud Manager, vaya a la Organization Settings página.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haga clic en Organization Settings.
Se muestra la página Configuración de la organización.
Asignar un rol de usuario por defecto a una organización
- Puede configurar MongoDB Atlas para que aprovisione automáticamente a cada usuario que
- se autentica a través de la IdP con un rol predeterminado en una organización asignada. Puede seleccionar diferentes roles para distintas organizaciones.
Nota
El rol seleccionado solo se aplica a los usuarios que se autentican a través del IdP si aún no tienen un rol en la organización.
Restringir el acceso a una organización por dominio
Puede especificar una lista de dominios aprobados para evitar que usuarios externos accedan a su organización. Utilice esta lista para definir una lista de dominios aprobados para su organización sin necesidad de asignarlos directamente a su proveedor de identidad (IdP).
Importante
Considerations
Una vez que habilite la opción Restrict Access by Domain:
Sólo puedes invitar a nuevos usuarios a unirse a tu organización cuyas direcciones de correo electrónico estén en la lista de dominios aprobados.
Los usuarios que ya están en su organización cuyos nombres de usuario no contienen un dominio en la lista aprobada no tienen acceso restringido a su organización.
Cualquier dominio asignado a su IdP se agrega automáticamente a la lista aprobada.
Desde el Federation Management Console:
Añadir dominios a la lista aprobada.
Para agregar dominios a la lista aprobada, puede:
Haga clic en Add Domains from Existing Members. Cloud Manager abre una ventana modal con los dominios de las direcciones de correo electrónico de los usuarios de su organización. Utilice esta lista para facilitar el acceso a los usuarios que ya forman parte de su organización.
Utilice las casillas de verificación para seleccionar los dominios deseados, luego haga clic en Add para agregarlos a la lista aprobada.
Haga clic en Add Domains. Cloud Manager abrirá una ventana modal donde puede agregar manualmente dominios a la lista aprobada.
Ingrese el dominio que desea aprobar en el cuadro de entrada y haga clic en Add. Repita este proceso para cada dominio que desee aprobar.
Nota
Si ha restringido la membresía de usuarios a su federación, Cloud Manager le advierte si agrega un dominio que se utiliza para acceder a organizaciones fuera de su federación.
Una vez que haya agregado todos los dominios deseados, haga clic en Submit.
Modo de SAML de omisión
Bypass SAML Mode proporciona una URL de inicio de sesión que omite su autenticación federada y, en su lugar, le permite autenticarse con sus credenciales de Cloud Manager.
Si la configuración de autenticación federada no es correcta, es posible que no pueda iniciar sesión en Cloud Manager a través de su IdP. La Bypass SAML Mode URL le ayuda a evitar que se le bloquee el acceso a su organización de Cloud Manager. Al configurar y probar su IdP, le recomendamos que anote la Bypass SAML Mode URL para asegurarse de poder iniciar sesión en Cloud Manager y configurar correctamente la autenticación federada.
Cada Bypass SAML Mode URL está asociada con un IdP individual y corresponde al del Login URL IdP.
Bypass SAML Mode Está habilitado de forma predeterminada, sin embargo, es posible que desees deshabilitarlo como medida de seguridad una vez que estés seguro de haber configurado correctamente tu autenticación federada.
Para establecer Bypass SAML Mode, desde Federation Management Console:
Iniciar sesión después de habilitar Bypass SAML Mode
Después de habilitar Bypass SAML Mode, debes iniciar sesión en Cloud Manager usando:
La Bypass SAML Mode URL para su IdP.
Un nombre de usuario que:
Contiene el dominio que asignaste a tu proveedor de identidad.
Solía iniciar sesión en MongoDB Atlas o Cloud Manager antes de configurar la autenticación federada.
Restringir la afiliación de usuarios a la Federación
Puede impedir que los usuarios de su instancia de Autenticación Federada creen nuevas organizaciones o usen sus credenciales para acceder a organizaciones fuera de la federación. Configure esta opción para tener control total sobre sus usuarios federados y para garantizar que solo tengan acceso a las organizaciones de Cloud Manager deseadas.
Importante
Esta configuración se aplica a toda la federación, incluidos todos los proveedores de identidad y organizaciones dentro de la federación.
Considerations
Una vez que habilite esta configuración:
Ningún usuario en su instancia de autenticación federada puede obtener acceso a organizaciones fuera de su federación.
De manera similar, ningún usuario federado puede aceptar o recibir invitaciones para unirse a organizaciones fuera de su federación.
Los usuarios de su federación con el rol aún pueden crear nuevas organizaciones. Estas nuevas organizaciones se conectan automáticamente a su
Organization Ownerfederación.Los usuarios de su federación sin el rol no pueden crear ninguna organización
Organization Ownernueva.Los usuarios de su federación conservan el acceso a cualquier organización a la que tenían acceso antes de la restricción de membresía.
Procedimiento
Desde el Federation Management Console:
Ver conflictos de usuarios
Si su federación contiene usuarios que pertenecen a organizaciones externas, Cloud Manager mostrará una advertencia. Para revisar los usuarios en conflicto, haga clic en View User Conflicts.
Cloud Manager muestra un modal con una lista de usuarios que entran en conflicto con la restricción de federación. Considere contactar a estos usuarios para informarles sobre la restricción.