Puedes configurar opciones avanzadas en tu instancia de Autenticación Federada para tener un mayor control sobre tus usuarios federados y el flujo de autenticación.
Acceso a la gestión de la federación
Se puede administrar la autenticación federada desde la Federation
Management ConsolePuedes acceder a la consola siempre que seas un
Organization Owner en una o más organizaciones que están delegando configuraciones de federación a la instancia.
Para abrir el Federation Management Console:
En MongoDB Cloud Manager, vaya a la página Organization Settings.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haga clic en Organization Settings.
Se muestra la página Configuración de la organización.
Asignar un rol de usuario por defecto a una organización
- Puede configurar MongoDB Atlas para que aprovisione automáticamente a cada usuario que
- se autentica a través de la proveedor de identidad con un rol por defecto en una organización asociada. Puede seleccionar diferentes roles para diferentes organizaciones.
Nota
El rol seleccionado solo se aplica a los usuarios que se autentican a través del proveedor de identidad si aún no tienen un rol en la organización.
Restringir el acceso a una organización por dominio
Puedes especificar una lista de dominios aprobados para evitar que los usuarios fuera de esos dominios accedan a tu organización. Utilice esta lista para definir una lista de dominios aprobados para su organización sin necesidad de asignar directamente esos dominios a su proveedor de identidad.
Importante
Considerations
Una vez que actives la opción Restrict Access by Domain:
Sólo puedes invitar a nuevos usuarios a unirse a tu organización cuyas direcciones de correo electrónico estén en la lista de dominios aprobados.
Los usuarios que ya están en su organización cuyos nombres de usuario no contienen un dominio en la lista aprobada no tienen acceso restringido a su organización.
Cualquier dominio asignado a su IdP se agrega automáticamente a la lista aprobada.
De la Federation Management Console:
Añada dominios a la lista aprobada.
Para agregar dominios a la lista aprobada, puedes hacerlo de dos formas:
Haga clic en Add Domains from Existing Members. Cloud Manager abre un modal que contiene los dominios de las direcciones de correo electrónico de los usuarios existentes en su organización. Utiliza esta lista para habilitar fácilmente el acceso a usuarios que ya formen parte de tu organización.
Utilice las casillas de verificación para seleccionar los dominios deseados y luego haga clic en Add para agregarlos a la lista de aprobados.
Haga clic en Add Domains. Cloud Manager abrirá una ventana modal donde puede agregar manualmente dominios a la lista aprobada.
Ingrese el dominio que desea aprobar en el cuadro de entrada y haga clic en Add. Repita este proceso para cada dominio que desee aprobar.
Nota
Si has restringido la membresía de usuario a tu federación, Cloud Manager te avisará si añades un dominio que se esté utilizando para acceder a organizaciones fuera de tu federación.
Una vez que haya agregado todos los dominios deseados, haga clic en Submit.
Modo de SAML de omisión
Bypass SAML Mode proporciona una URL de inicio de sesión que omite su autenticación federada y, en su lugar, le permite autenticarse con sus credenciales de Cloud Manager.
Si la configuración de Autenticación Federada no está configurada correctamente, es posible que no puedas iniciar sesión en Cloud Manager a través de tu proveedor de identidad. La Bypass SAML Mode URL ayuda a evitar que te quedes bloqueado fuera de tu organización de Cloud Manager. Al configurar y probar tu proveedor de identidad, te recomendamos que tomes nota de la URL Bypass SAML Mode para asegurarte de poder iniciar sesión en Cloud Manager y configurar correctamente tu Autenticación Federada.
Cada URL de Bypass SAML Mode está asociada a un proveedor de identidad individual, y corresponde al Login URL del IdP.
Bypass SAML Mode está habilitado por defecto, sin embargo, es posible que desees desactivarlo como una medida de seguridad una vez que estés seguro de que has configurado correctamente tu Autenticación Federada.
Para configurar Bypass SAML Mode, desde el Federation Management Console:
Iniciar sesión después de habilitar Bypass SAML Mode
Después de habilitar Bypass SAML Mode, debes iniciar sesión en Cloud Manager usando:
La Bypass SAML Mode URL de tu proveedor de identidad.
Un nombre de usuario que:
Contiene el dominio que asignaste a tu proveedor de identidad.
Has utilizado para iniciar sesión en MongoDB Atlas o Cloud Manager antes de configurar la autenticación federada.
Restringir la afiliación de usuarios a la Federación
Puede impedir que los usuarios de su instancia de Autenticación Federada creen nuevas organizaciones o usen sus credenciales para acceder a organizaciones fuera de la federación. Configure esta opción para tener control total sobre sus usuarios federados y para garantizar que solo tengan acceso a las organizaciones de Cloud Manager deseadas.
Importante
Esta configuración se aplica a toda la federación, incluyendo todos los proveedores de identidad y organizaciones dentro de la federación.
Considerations
Una vez que habilites esta configuración:
Ningún usuario de su instancia de Autenticación Federada puede acceder a organizaciones fuera de su federación.
Del mismo modo, ningún usuario federado puede aceptar ni recibir invitaciones para unirse a organizaciones fuera de su federación.
Los usuarios en tu federación con el rol
Organization Owneraún pueden crear nuevas organizaciones. Estas nuevas organizaciones están conectadas automáticamente a tu federación.Los usuarios en tu federación que no tengan el rol
Organization Ownerno pueden crear ninguna nueva organización.Los usuarios de tu federación mantienen el acceso a cualquier organización a la que tuvieran acceso antes de la restricción de membresía.
Procedimiento
De la Federation Management Console:
Ver conflictos de usuarios
Si tu federación contiene usuarios que pertenecen a organizaciones fuera de tu federación, Cloud Manager muestra un banner de advertencia. Para revisar los usuarios en conflicto, haz clic en View User Conflicts.
Cloud Manager muestra una ventana emergente con una lista de usuarios que entran en conflicto con la restricción de federación. Considere contactar a estos usuarios para que estén al tanto de la restricción.