Puedes configurar opciones avanzadas en tu instancia de Autenticación Federada para tener un mayor control sobre tus usuarios federados y el flujo de autenticación.
Acceso a la gestión de federación
Se puede administrar la autenticación federada desde la Federation
Management Console. Podrá acceder a la consola siempre que sea un
Organization Owner en una o más organizaciones que están delegando la configuración de federación a la instancia.
Para abrir el Federation Management Console:
En MongoDB Cloud Manager, vaya a la página Organization Settings.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haga clic en Organization Settings.
Se muestra la página Configuración de la organización.
Asignar un rol de usuario por defecto a una organización
- Puede configurar MongoDB Atlas para aprovisionar automáticamente a cada usuario que
- se autentica a través del proveedor de identidad con un rol por defecto en una organización asociada. Puede seleccionar diferentes roles para diferentes organizaciones.
Nota
El rol seleccionado solo se aplica a los usuarios que se autentican a través del proveedor de identidad si aún no tienen un rol en la organización.
Restringir el acceso a una organización por dominio
Puedes especificar una lista de dominios aprobados para evitar que los usuarios fuera de esos dominios accedan a tu organización. Utilice esta lista para definir una lista de dominios aprobados para su organización sin necesidad de asignar directamente esos dominios a su proveedor de identidad.
Importante
Considerations
Una vez que actives la opción Restrict Access by Domain:
Solo puedes invitar a nuevos usuarios a unirse a tu organización si sus direcciones de correo electrónico están en la lista aprobada de dominios.
Los usuarios que ya se encuentran en tu organización y cuyos nombres de usuario no contienen un dominio de la lista aprobada no tienen restricciones de acceso a tu organización.
Todos los dominios que estén mapeados a tu proveedor de identidad se añaden automáticamente a la lista aprobada.
De la Federation Management Console:
Añada dominios a la lista aprobada.
Para agregar dominios a la lista aprobada, puedes hacerlo de dos formas:
Haga clic en Add Domains from Existing Members. Cloud Manager abre un modal que contiene los dominios de las direcciones de correo electrónico de los usuarios existentes en su organización. Utiliza esta lista para habilitar fácilmente el acceso a usuarios que ya formen parte de tu organización.
Utilice las casillas de verificación para seleccionar los dominios deseados y luego haga clic en Add para agregarlos a la lista de aprobados.
Haz clic en Add Domains. Cloud Manager abre una ventana modal donde puedes añadir manualmente dominios a la lista aprobada.
Introduce el dominio que deseas aprobar en el cuadro de entrada y luego haz clic en Add. Repite este proceso para cada dominio que desees aprobar.
Nota
Si has restringido la membresía de usuario a tu federación, Cloud Manager te avisará si añades un dominio que se esté utilizando para acceder a organizaciones fuera de tu federación.
Una vez que haya añadido todos los dominios deseados, haga clic en Submit.
Modo de SAML de omisión
Bypass SAML Mode proporciona una URL de inicio de sesión que elude su autenticación federada y, en su lugar, le permite autenticarse con sus credenciales de Cloud Manager.
Si la configuración de Autenticación Federada no está configurada correctamente, es posible que no puedas iniciar sesión en Cloud Manager a través de tu proveedor de identidad. La Bypass SAML Mode URL ayuda a evitar que te quedes bloqueado fuera de tu organización de Cloud Manager. Al configurar y probar tu proveedor de identidad, te recomendamos que tomes nota de la URL Bypass SAML Mode para asegurarte de poder iniciar sesión en Cloud Manager y configurar correctamente tu Autenticación Federada.
Cada URL de Bypass SAML Mode está asociada a un proveedor de identidad individual, y corresponde al Login URL del IdP.
Bypass SAML Mode está habilitado por defecto, sin embargo, es posible que desees desactivarlo como una medida de seguridad una vez que estés seguro de que has configurado correctamente tu Autenticación Federada.
Para configurar Bypass SAML Mode, desde el Federation Management Console:
Iniciar sesión después de habilitar Bypass SAML Mode
Después de habilitar Bypass SAML Mode, debes iniciar sesión en Cloud Manager usando:
La Bypass SAML Mode URL de tu proveedor de identidad.
Un nombre de usuario que:
Contiene el dominio que asignaste a tu proveedor de identidad.
Has utilizado para iniciar sesión en MongoDB Atlas o Cloud Manager antes de configurar la autenticación federada.
Restringir la afiliación de usuarios a la Federación
Puedes impedir que los usuarios en tu instancia de Autenticación Federada creen nuevas organizaciones o utilicen sus credenciales para acceder a organizaciones fuera de la federación. Configura este parámetro para tener control total sobre tus usuarios federados y para ayudar a garantizar que solo tengan acceso a las organizaciones de Cloud Manager deseadas.
Importante
Esta configuración se aplica a toda la federación, incluyendo todos los proveedores de identidad y organizaciones dentro de la federación.
Considerations
Una vez que habilites esta configuración:
Ningún usuario de su instancia de Autenticación Federada puede acceder a organizaciones fuera de su federación.
Del mismo modo, ningún usuario federado puede aceptar ni recibir invitaciones para unirse a organizaciones fuera de su federación.
Los usuarios en tu federación con el rol
Organization Owneraún pueden crear nuevas organizaciones. Estas nuevas organizaciones están conectadas automáticamente a tu federación.Los usuarios en tu federación que no tengan el rol
Organization Ownerno pueden crear ninguna nueva organización.Los usuarios de tu federación mantienen el acceso a cualquier organización a la que tuvieran acceso antes de la restricción de membresía.
Procedimiento
De la Federation Management Console:
Ver conflictos de usuario
Si tu federación contiene usuarios que pertenecen a organizaciones fuera de tu federación, Cloud Manager muestra un banner de advertencia. Para revisar los usuarios en conflicto, haz clic en View User Conflicts.
Cloud Manager muestra una ventana emergente con una lista de usuarios que entran en conflicto con la restricción de federación. Considere contactar a estos usuarios para que estén al tanto de la restricción.