La autenticación federada de MongoDB vincula sus credenciales en varios sistemas MongoDB. MongoDB Cloud Manager implementa la autenticación mediante el modelo de gestión de identidades federadas.
Usando el Modelo FIM:
La empresa gestiona las credenciales mediante un proveedor de identidad (IdP). Con el IdP, la empresa puede permitir la autenticación con otros servicios de la web.
Configura Cloud Manager para autenticarse usando datos transmitidos desde tu IdP.
Esto va más allá del SSO, ya que tu IdP administra tus credenciales, no MongoDB. Tus usuarios pueden usar Cloud Manager sin necesidad de recordar otro nombre de usuario y contraseña.
El siguiente procedimiento lo guiará a través del proceso de vinculación de un IdP a Cloud Manager.
Advertencia
Aún puedes desactivar o eliminar un IdP incluso si está conectado a una organización, siempre y cuando seas un Organization Owneren todas las organizaciones conectadas al IdP.
Tenga cuidado al desactivar o eliminar un proveedor de identidad que aún esté conectado a organizaciones, ya que los usuarios que dependen de ese IdP pueden perder inmediatamente el acceso a esas organizaciones y sus proyectos.
Acceso a la gestión de la federación
Puede administrar la autenticación federada desde el Federation
Management ConsolePuede acceder a la consola siempre que sea un en una o más organizaciones que delegan configuraciones de federación a la Organization Owner instancia.
Procedimiento
Importante
Configuración de dos etapas
Dependiendo de su proveedor de identidad, podría aplicarse cierta lógica circular al vincularlo con un proveedor de servicios como Cloud Manager. Para vincular su IdP con Cloud Manager:
Su IdP necesita valores de Cloud Manager y
Cloud Manager necesita valores de su IdP.
Para simplificar la configuración, Cloud Manager le solicita que introduzca valores de marcador de posición para las configuraciones de IdP y Cloud Manager. Reemplazará estos valores más adelante en el procedimiento.
Configurar una aplicación de Proveedor de Identidad Externo
Para configurar la autenticación federada, debe tener una aplicación SAML IdP externa. En la aplicación SAML IdP, debe:
Cree una nueva aplicación para Cloud Manager.
Configura los valores iniciales de SAML para la nueva aplicación:
Establezca valores de marcador de posición para los siguientes campos:
SP Entity ID or Issuer
Audience URI
Assertion Consumer Service (ACS) URL
Establezca valores válidos para los siguientes campos:
CampoValorSignature Algorithm
El algoritmo de firma es el que se utiliza para cifrar la firma del IdP. Cloud Manager admite los siguientes valores de algoritmo de firma:
SHA-1SHA-256
Name ID
Una dirección de correo electrónico válida.
IMPORTANTE: Name ID es tanto su dirección de correo electrónico como su nombre de usuario.
Name ID Format
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecifiedCree atributos con nombres de atributo para los siguientes valores de atributo:
firstNamelastName
Nota
Los nombres de estos atributos distinguen entre mayúsculas y minúsculas.Escriba los nombres de estos atributos como se muestra en camelCase.
Guarde estos valores.
Una vez que haya completado la configuración inicial de su aplicación IdP, vincule el IdP a Cloud Manager para federar los inicios de sesión de sus usuarios.
Aplicar su proveedor de identidad a Cloud Manager
Nota
Requisito previo
Este procedimiento asume que ya dispone de un proveedor de identidad externo. Para aprender cómo configurar un IdP, consulte Configurar una aplicación de proveedor de identidad externo.
Puedes configurar la autenticación federada en Cloud Manager desde el Federation Management Console. Usa esta consola para:
Configura Identity Providers para autenticar a los usuarios pertenecientes a organizaciones especificadas.
Conecte Cloud Manager Organizations a su IdP.
Verifica y asocia Domains con el proveedor de identidad para obligar a los usuarios a autenticarse con ese proveedor de identidad.
Abrir la consola de gestión
En MongoDB Cloud Manager, vaya a la Organization Settings página.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haga clic en Organization Settings.
Se muestra la página Configuración de la organización.
Desde la Consola de Gestión:
Haga clic Add Identity Providers
Si aún no tiene ningún proveedor de identidad configurado, haga clic en Setup Identity Provider. De lo contrario, en la pantalla Identity Providers, haga clic en Add Identity Provider.
Introduce o selecciona los siguientes ajustes del protocolo SAML. Todos los campos son obligatorios:
CampoDescripciónConfiguration Name
Nombre de esta configuración de IdP.
IdP Issuer URI
Identificador del emisor de la aserción SAML.
Especifique un valor de marcador de posición para este campo. Obtenga el valor real de este campo de su IdP una vez que lo haya proporcionado con los metadatos de Cloud Manager.
IdP Single Sign-On URL
URL del receptor de la SAML AuthNRequest.
Especifique un valor de marcador de posición para este campo. Obtenga el valor real de este campo de su IdP una vez que lo haya proporcionado con los metadatos de Cloud Manager.
IdP Signature Certificate
Certificado de llave pública codificado en PEM del proveedor de identidad. Se puede obtener este valor del proveedor de identidad.
Puedes:
Subir el certificado desde el ordenador, o
Pegue el contenido del certificado en un cuadro de texto.
Request Binding
Protocolo de solicitud de autenticación de SAML utilizado para enviar el AuthNRequest. Puede ser cualquiera de los siguientes:
HTTP POSTHTTP REDIRECT
Response Signature Algorithm
Algoritmo de respuesta utilizado para firmar la solicitud de autenticación de SAML. Puede ser cualquiera de los siguientes:
SHA-256SHA-1
Haga clic en Next.
Configure su proveedor de identidad con metadatos de Cloud Manager
Una vez configurado su IdP en Cloud Manager, puede proporcionarle los metadatos necesarios de Cloud Manager.
En la Identity Provider pantalla de Cloud Manager, haga clic en Download metadata para descargar los metadatos que requiere su IdP. Cloud Manager proporciona los datos como un
.xmlarchivo.![Imagen que muestra cómo descargar metadatos]()
Nota
Cloud Manager proporciona Assertion Consumer Service URL y Audience URI si desea copiar y guardar manualmente estos valores. Estos valores se incluyen en la descarga de metadatos.
Se deben subir los metadatos al proveedor de identidad.
Ahora tiene la información necesaria para reemplazar los IdP Issuer URI IdP Single Sign-On URL valores de marcador de posición y establecidos cuando configuró la asignación de IdP inicial en Cloud Manager.
En Cloud Manager, modifique los valores de marcador de posición establecidos para IdP Issuer URI y IdP Single Sign-On URL para el IdP vinculado con los valores adecuados de su IdP.
Opcionalmente, se debe agregar una URL de RelayState al proveedor de identidad para enviar a los usuarios a una URL que se elijan y evitar redirecciones innecesarias después de iniciar sesión. Se puede utilizar:
DestinoURL de RelayStateAdministrador de la nube MongoDB MongoDB
El Login URL que se generó para la configuración de su proveedor de identidad en la aplicación de administración de federación de MongoDB Cloud Manager.
Portal de soporte de MongoDB
https://auth.mongodb.com/app/salesforce/exk1rw00vux0h1iFz297/sso/saml MongoDB University
https://auth.mongodb.com/home/mongodb_thoughtindustriesstaging_1/0oadne22vtcdV5riC297/alndnea8d6SkOGXbS297 Foros de MongoDB Community
https://auth.mongodb.com/home/mongodbexternal_communityforums_3/0oa3bqf5mlIQvkbmF297/aln3bqgadajdHoymn297 Motor de comentarios de MongoDB
https://auth.mongodb.com/home/mongodbexternal_uservoice_1/0oa27cs0zouYPwgj0297/aln27cvudlhBT7grX297 MongoDB JIRA
https://auth.mongodb.com/app/mongodbexternal_mongodbjira_1/exk1s832qkFO3Rqox297/sso/saml Regrese al Administrador de nube y haga clic en Finish.
Importante
Una vez que vincula su IdP a Cloud Manager, se muestra como Inactive en Federation Management Console hasta que asigna al menos un dominio al IdP.
Próximos pasos
Después de vincular correctamente su IdP a Cloud Manager, debe asignar uno o más dominios a su IdP. Cloud Manager autentica a los usuarios de estos dominios a través de su IdP.