Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/ /
Utilice OIDC
Docs Home
/ /
Asegurar con autenticación
/
Utilice OIDC
Docs Home
/
Gestión
/
Cloud Manager
/
Seguridad
/
Asegurar con autenticación
/
Utilice OIDC

Configurar Workforce Identity Federation con OIDC

En MongoDB 7.0 y versiones posteriores, Workforce Identity Federation te permite utilizar un proveedor de identidad externo (IdP), como tu empresa IdP, para autenticar y autorizar a una fuerza laboral determinada, como empleados, socios y contratistas.

Con Workforce Identity Federation, se puede:

  • Gestionar el acceso de la fuerza laboral a las implementaciones de MongoDB a través del proveedor de identidad que se tenga actualmente.

  • Aplica políticas de seguridad como la complejidad de la contraseña, la rotación de credenciales y la autenticación de múltiples factores en tu proveedor de identidad.

Solo puede crear una federación de identidad de Workforce por proyecto, pero puede editar o recrear la configuración en cualquier momento.

Acceso requerido

Para configurar Federation de Identidad de trabajadores, debes tener Project Owner acceso al Cloud Manager.

Requisitos previos

Debes tener lo siguiente:

  • mongosh 1.9.1 o posterior.

  • MongoDB 7.0 o posterior.

  • Al menos otro mecanismo de autenticación con el MongoDB Agent configurado.

    Nota

    El Agente de MongoDB no puede conectarse a su implementación mediante OIDC. Debe habilitar un mecanismo de autenticación adicional para el Agente de MongoDB. Si Cloud Manager no administra la monitorización ni la copia de seguridad, debe configurarlas manualmente para que usen el mecanismo de autenticación alternativo.

Procedimientos

Para acceder a las implementaciones de Cloud Manager con Workforce Identity Federation, complete los siguientes pasos:

  1. Configurar un proveedor de identidad de Workforce (configuración única).

    1. Configurar al proveedor de identidad externo.

    2. Configura el proveedor de identidad de fuerza laboral en Cloud Manager.

  2. Concede acceso a identidades externas (principales de usuario) o grupos.

  3. Autentícate en tu implementación de Cloud Manager.

Configurar una aplicación de Proveedor de Identidad Externo

Nota

Para restablecer la autenticación y la configuración de TLS de tu proyecto, primero desadministra cualquier implementación de MongoDB que Cloud Manager administre en tu proyecto.

Para configurar Workforce Identity Federation con OIDC, registre su aplicación OIDC con un IdP que admita el estándar OIDC, como Microsoft Entra ID, Okta o Ping Identity.

Se puede configurar su aplicación OIDC para los siguientes tipos de concesiones:

  • Flujo de código de autorización con PKCE

  • Flujo de autorización de dispositivos

MongoDB recomienda que se utilice el Flujo de códigos de autorización con PKCE para mayor seguridad. Se debe utilizar el Flujo de autorización de dispositivos solo si los usuarios necesitan acceder a la base de datos desde máquinas sin navegador.

Los pasos de registro de la aplicación OIDC pueden variar según el proveedor de identidad. Se debe garantizar que se completan los siguientes elementos durante el proceso de registro:

Los pasos genéricos de registro para tu aplicación OIDC son los siguientes:

1

Registrar una nueva aplicación para Cloud Manager.

Seleccionar public client/native application como el tipo de cliente.

2

Establezca el Redirect URL valor http://localhost:27097/redirect en.

3

(Condicional) Agrega o habilita una reclamación groups si te autenticas con grupos.

Para los grupos, este paso garantiza que los tokens de acceso contengan la información de membresía del grupo del usuario que se autentica. MongoDB utiliza los valores enviados en una reclamación de grupos para la autorización.

4

(Opcional) Se puede permitir que se actualicen los tokens si se desea que los clientes de MongoDB actualicen los tokens para una mejor experiencia de usuario.

5

(Opcional) Configurar la vida útil del token de acceso (reclamaciónexp ) para que se alinee con el tiempo de sesión de la conexión a la base de datos.

Después de registrar su aplicación, guarde los valores issuer, clientId y audience para usarlos en la siguiente etapa de la configuración.

Para registrar la aplicación OIDC con Microsoft Entra ID:

1

Registre una aplicación.

  1. Ir a App registrations.

    1. En tu Portal de Azurecuenta, busque y Microsoft Entra ID haga clic en.

    2. En la sección Manage de la navegación izquierda, hacer clic en App registrations.

  2. Haga clic en New registration.

  3. Aplicar los siguientes valores.

    Campo
    Valor

    Name

    Cloud Manager Database - Workforce

    Supported Account Types

    Accounts in this organizational directory only (single tenant)

    Redirect URI

    - Public client/native (mobile & desktop)
    - http://localhost:27097/redirect

  4. Haga clic en Register.

Para aprender más sobre cómo registrar una aplicación, se puede consultar Azure Documentation.

2

Agregar una reclamación de grupo.

  1. Ir a Token Configuration.

    En la sección Manage de la navegación izquierda, hacer clic en Token Configuration.

  2. Haga clic en Add groups claim.

  3. En el cuadro modal Edit groups claim, seleccionar Security.

    Los grupos que seleccione dependen del tipo de grupos que haya configurado en su entorno de Azure. Es posible que necesite seleccionar un tipo diferente de grupo para enviar la información de grupo adecuada.

  4. En la sección Customize token properties by type, seleccionar solo Group ID.

  5. Haga clic en Add.

Para aprender más sobre cómo agregar una reclamación de grupo, se puede consultar Documentación de Azure.

3

Agregar una reclamación de identificador de usuario al token de acceso.

  1. Haga clic en Add optional claim.

  2. En el cuadro modal Add optional claim, seleccionar Access.

  3. Seleccionar una reclamación que lleve un identificador de usuario al que se pueda referir en los registros de acceso de MongoDB, como un correo electrónico.

    Se puede usar la reclamación UPN para identificar a los usuarios con su dirección de correo electrónico.

  4. Haga clic en Add.

  5. En la nota Microsoft Graph Permissions, marque la casilla y haga clic en Add.

Para aprender más, se puede consultar la documentación de Azure.

4

Actualizar el manifiesto.

  1. En la sección Manage de la navegación izquierda, hacer clic en Manifest.

  2. Actualizar el accessTokenAcceptedVersion de null a 2.

    El número 2 representa la versión 2 de los tokens de acceso de Microsoft. Otras aplicaciones pueden utilizar esto como una declaración firmada de la identidad del usuario gestionado por el Directorio de Active. La versión 2 garantiza que el token sea un JSON Web Token que MongoDB comprenda.

  3. Haga clic en Save.

Para aprender más sobre cómo agregar una reclamación opcional, se puede consultar Documentación de Azure.

5

Recuerde los metadatos.

  1. En la navegación izquierda, hacer clic en Overview.

    Copiar el valor de Application (client) ID.

  2. En la navegación superior, haga clic en Endpoints.

    Copie el valor OpenID Connect metadata document sin la parte /.well-known/openid-configuration.

    También se puede obtener este valor copiando el valor de issuer en la URL OpenID Connect metadata document.

La siguiente tabla muestra a qué se corresponden estos valores de la Interfaz de Usuario de Microsoft Entra ID en nuestras propiedades de configuración de MongoDB Atlas:

Microsoft Entra ID UI
Propiedad de configuración de MongoDB Atlas

Application (client) ID

Client ID
Audience

OpenID Connect metadata document (without /.well-known/openid-configuration)

Issuer URI.

Configurar la autenticación de la Workforce Identity Federation

Para configurar Workforce Identity Federation con OIDC, completa el siguiente procedimiento.

Nota

Workforce Identity Federation solo brinda soporte a JWT para la autenticación. No brinda soporte para tokens de acceso opacos.

1

Navegue al cuadro de diálogo Security Settings para su implementación.

  1. Selecciona la organización que contiene tu proyecto desde el menú Organizations en la barra de navegación.

  2. Selecciona tu proyecto en el menú Projects de la barra de navegación.

  3. Haz clic en Deployment en la barra lateral.

  4. Haz clic en la pestaña Security.

  5. Haz clic en la pestaña Settings.

  6. Realiza una de las siguientes acciones:

    • Si esta es la primera vez que configura TLS, autenticación o configuración de autorización para este proyecto, haz clic en Get Started.

    • Si ya se ha configurado la autenticación TLS, o la configuración de autorización para este proyecto, haga clic en Edit.

2

Opcional: Especifica la configuración TLS.

Campo
Acción

Seguridad de capa de transporte de implementación de MongoDB (TLS)

Active este control deslizante para ON.

Ruta de archivo CA TLS

El archivo de la Autoridad Certificadora TLS es un archivo de certificado en formato .pemque contiene la cadena de certificados raíz de la Autoridad Certificadora. El Agente de MongoDB utiliza este mismo archivo de Autoridad Certificadora para conectarse a todos los elementos en tu implementación.

La clave privada cifrada para el archivo de certificado .pem debe estar en formato PKCS #1. MongoDB Agent no es compatible con el formato PKCS #8.

Escriba la ruta del archivo hasta el archivo de la Autoridad Certificadora TLS en cada host que ejecute un proceso de MongoDB:

  • Escriba la ruta del archivo en todos los hosts Linux en el primer cuadro.

  • Escriba la ruta del archivo en todos los hosts de Windows en la segunda casilla.

Esto habilita la configuración para los procesos MongoDB en el net.tls.CAFile proyecto.

Haz clic en Validate para probar que cada host en tu implementación tenga una autoridad certificadora TLS en las rutas que especificaste.

Ruta del archivo CA TLS del clúster

El archivo .pem que contiene la cadena de certificados raíz de la Autoridad de Certificación utilizada para validar el certificado presentado por un cliente que establece una conexión. Especifique el nombre del archivo .pem utilizando rutas relativas o absolutas. net.tls.clusterCAFile requiere que net.tls.CAFile esté configurado.

Si no especifica, el clúster utiliza net.tls.clusterCAFile el .pem archivo especificado en la net.tls.CAFile opción.

net.tls.clusterCAFile Le permite utilizar autoridades de certificación independientes para verificar las partes de cliente a servidor y de servidor a cliente del protocolo de enlace TLS.

Modo de certificado de cliente

Seleccione si las aplicaciones cliente o los agentes de MongoDB deben presentar un certificado TLS al conectarse a implementaciones de MongoDB habilitadas para TLS. Cada implementación de MongoDB verifica los certificados de estos hosts cliente cuando intentan conectarse. Si eliges exigir los certificados TLS del cliente, asegúrate de que sean válidos.

Los valores aceptados son:

Opcional

Cada cliente puede presentar un certificado TLS válido al conectarse a implementaciones de MongoDB. Los agentes de MongoDB podrían usar certificados TLS si no estableces el mongod tlsMode en None.

Requerido

Cada implementación de MongoDB en este proyecto se inicia con conexiones de red cifradas con TLS. Todos los Agentes deben usar TLS para conectarse a cualquier implementación de MongoDB.

3

Elija el mecanismo de autenticación.

En la sección MongoDB Deployment Authentication Mechanism, seleccione Federated Auth (OIDC).

4

Crear una nueva OIDC proveedor de identidad configuración.

  1. En la sección OIDC Connection and Authorization (Required for OIDC), haga clic en + OIDC IdP Configuration.

  2. En el cuadro de diálogo OIDC Protocol Settings, selecciona Workforce Identity Federation.

5

Introduce la siguiente configuración.

Configuración
Necesidad
Valor

Configuration Name

Requerido

Etiqueta única que identifica esta configuración. Esta etiqueta es visible para los usuarios de tu Cloud Manager y se utiliza al crear usuarios y roles para la autorización. Es sensible a mayúsculas y minúsculas y solo puede contener los siguientes caracteres:

  • caracteres alfanuméricos (combinación de a a z y de 0 a 9)

  • guiones (-)

  • guiones bajos (_)

Después de guardar la configuración, no puedes editar el nombre de la configuración.

Issuer URI

Requerido

El valor del emisor proporcionado por la aplicación del proveedor de identidad que se tenga registrado. Usando este URI, MongoDB encuentra un Documento de Configuración del Proveedor de OpenID, que debería estar disponible en el endpoint /.wellknown/open-id-configuration.

Client ID

Requerido

Identificador único para la aplicación registrada. Ingresar el valor de clientId de la aplicación que se registró con el proveedor de identidad externo.

Audience

Requerido

Entidad para la cual el proveedor de identidad externo destina el token. Ingresar el valor de audience de la aplicación que se registró con el proveedor de identidad externo. Generalmente, este valor es el mismo que el Client ID.

Requested Scopes

Opcional

Tokens que otorgan a los usuarios permiso para solicitar datos del punto final de autorización.

Para cada ámbito adicional que se desee agregar, hacer clic en Add more scopes.

Tipo de autorización

Requerido

Seleccionar Group Membership para conceder autorización basada en la pertenencia a un grupo de usuarios del proveedor de identidad, o seleccionar User ID para conceder autorización a un usuario individual.

Customize User Claim

Requerido

El identificador de la reclamación que incluye la identidad principal del usuario. Acepte el valor por defecto a menos que su IdP utilice una reclamación diferente.

Por defecto: sub

Customize Group Claim

Requerido

Se requiere si selecciona Group Membership como el tipo de autorización. El identificador de la afirmación que incluye información sobre la pertenencia del usuario principal al grupo de proveedor de identidad. Aceptar el valor por defecto a menos que su IdP utilice una reivindicación diferente, o que necesite una reclamación personalizada.

Por defecto: groups

6

Haga clic en Save Configuration.

Cloud Manager guarda la configuración y la lista en la sección OIDC Connection and Authorization (Required for OIDC).

7

Haga clic en Save Settings.

8

Haga clic Review & Deploy en para revisar sus cambios.

9

Haga clic Confirm & Deploy en para implementar sus cambios.

En caso contrario, haz clic en Cancel y podrás realizar cambios adicionales.

Configurar autorización OIDC

MongoDB no crea explícitamente usuarios de base de datos para OIDC. Asocia los usuarios de OIDC con los roles de MongoDB en función de la configuración.

Selecciona una pestaña según el tipo de autorización que hayas seleccionado al configurar la autenticación OIDC.

Si seleccionaste el tipo de autorización Group Membership, completa los siguientes pasos para crear un rol personalizado que otorgue autorización según la membresía en el grupo de usuarios de proveedor de identidad:

1

Navega a la pestaña MongoDB Roles para tu implementación.

  1. Selecciona la organización que contiene tu proyecto desde el menú Organizations en la barra de navegación.

  2. Selecciona tu proyecto en el menú Projects de la barra de navegación.

  3. Haz clic en Deployment en la barra lateral.

  4. Haz clic en la pestaña Security.

  5. Haz clic en la pestaña MongoDB Roles.

2

Haga clic en Add New Role.

3

Crea el rol OIDC.

  1. Introduce los siguientes campos:

    Campo
    Necesidad
    Descripción

    Identifier

    Requerido

    En el recuadro Database, introduzca admin.

    En el cuadro Name, introduzca su nombre de configuración de OIDC IdP y el nombre del grupo de su proveedor de identidad externo, separados por una barra diagonal /:

    {configuration_name}/{group_name}

    Inherits From

    Opcional

    Una lista de pares de nombres de roles y bases de datos. El formato para estos pares es roleName@dbName.

    Authentication Restrictions

    Opcional

    Una lista de direcciones IP o notaciones CIDR que desees restringir desde tu proveedor de identidad.

    Privilege Actions by Resource

    Opcional

    Acciones permitidas en el recurso.

    Para obtener más información,consulte Acciones de privilegio.

  2. Haga clic en Add Role.

Si seleccionó el tipo de autorización User ID, cree un nuevo usuario para otorgar autorización a un usuario individual:

1

Navega a la pestaña MongoDB Users para tu implementación.

  1. Selecciona la organización que contiene tu proyecto desde el menú Organizations en la barra de navegación.

  2. Selecciona tu proyecto en el menú Projects de la barra de navegación.

  3. Haz clic en Deployment en la barra lateral.

  4. Haz clic en la pestaña Security.

  5. Haz clic en la pestaña MongoDB Users.

2

Haga clic en Add New User.

3

Agregue el usuario OIDC.

Nota

Antes de agregar usuarios, asegúrese de haber creado todos los roles que desea asignarles.

  1. Completa los campos de la cuenta de usuario:

    Campo
    Descripción

    Identifier

    • En el primer campo, introduce la base de datos $external.

    • En el segundo campo, introduce un nombre de usuario utilizando tu OIDC proveedor de identidad nombre de configuración y la declaración principal del usuario de tu configuración separada por una barra /:

      {configuration_name}/{user_principal_claim}

    Roles

    Ingrese cualquier rol definido por el usuario disponible y roles integrados en este cuadro. El cuadro combinado proporciona una lista de roles existentes cuando haces clic en él.

    Authentication Restrictions

    1. Haga clic en Add Entry.

    2. Agregue una o más direcciones IP o bloques CIDR en los cuadros Client Source Server Address o. Separe las direcciones o bloques con comas.

      • Client Source restringe las direcciones desde las cuales este usuario puede autenticarse y usar los roles asignados.

      • Server Address restringe las direcciones desde las que este usuario puede autenticarse y tener los roles asignados.

    3. Haga clic en Save.

    4. Para añadir otra entrada, haz clic en Add Entry.

  2. Haga clic en Add User.

4

Haga clic Review & Deploy en para revisar sus cambios.

5

Haga clic Confirm & Deploy en para implementar sus cambios.

En caso contrario, haz clic en Cancel y podrás realizar cambios adicionales.

Conéctese a MongoDB con Workforce Identity Federation

Utiliza mongosh o Compass para conectar una aplicación a MongoDB con autenticación Workforce Identity Federation.

Gestionar una configuración existente de la Workforce Identity Federation

Para administrar tu configuración de Federación de Identidad Laboral, puedes realizar las siguientes acciones.

Revoke JWKS

Nota

No use esta funcionalidad para rotar las claves de firma. Cuando gire las claves de firma OIDC proveedor de identidad, MongoDB obtiene la JWKS automáticamente una vez vencidos los tokens de acceso existentes.

Si la llave privada está comprometida, se pueden revocar inmediatamente los conjuntos de llaves web JSON (JWKS) almacenados en caché en los nodos de MongoDB:

1

En MongoDB Cloud Manager, ir a la página Security del proyecto.

  1. Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Security en la sección Database.

Se muestra la página de Seguridad.

2

Vaya al Security Settings cuadro de diálogo para su implementación.

Haz clic en la pestaña Settings.

3

Revoca tu token JWKS.

  1. Desplácese hasta la sección OIDC Connection and Authorization (Required for OIDC).

  2. Haga clic en el botón REVOKE JWKS.

    Nota

    Este botón está inactivo si no hay un proveedor de identidad configurado.

  3. En el cuadro de diálogo Revoke JWKS tokens?, haga clic en Revoke.

Edite una configuración

Para editar la configuración de Federación de Identidad de Workforce:

1

En MongoDB Cloud Manager, ir a la página Security del proyecto.

  1. Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Security en la sección Database.

Se muestra la página de Seguridad.

2

Editar la configuración.

  1. Desplácese hasta la sección OIDC Connection and Authorization (Required for OIDC).

  2. Para la configuración que deseas editar, haz clic en el botón EDIT.

  3. Realiza cambios en la configuración.

3

Haga clic en Save Configuration.

4

Haga clic en Save Settings.

5

Haga clic Review & Deploy en para revisar sus cambios.

6

Haga clic Confirm & Deploy en para implementar sus cambios.

En caso contrario, haz clic en Cancel y podrás realizar cambios adicionales.

Borrar una configuración

Para borrar la configuración de Workforce Identity Federation:

1

En MongoDB Cloud Manager, ir a la página Security del proyecto.

  1. Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Security en la sección Database.

Se muestra la página de Seguridad.

2

Remueve la configuración.

  1. Desplácese hasta la sección OIDC Connection and Authorization (Required for OIDC).

  2. Para la configuración que desea borrar, haga clic en el botón REMOVE.

  3. En el cuadro de diálogo Removing OIDC IdP configuration?, haga clic en Remove.

Volver

Utilice OIDC

Next

Carga de trabajo (Aplicaciones)

En esta página