Docs Menu
Docs Home
/ /
Autenticación
Docs Home
/
Librerías de clientes
/
Go
/
Autenticación
Docs Home
/
Librerías de clientes
/
Go
/
Autenticación

Mecanismo de autenticación de OIDC

Overview

Importante

El mecanismo de autenticación MONGODB-OIDC requiere MongoDB Server v7.0 o posterior ejecutándose en una plataforma Linux.

El controlador Go admite la autenticación OpenID Connect(OIDC) para identidades de carga de trabajo. Una identidad de carga de trabajo es una identidad que se asigna a una carga de trabajo de software, como una aplicación, un servicio, un script o un contenedor, para autenticar y acceder a otros servicios y recursos.

Las siguientes secciones describen cómo utilizar el mecanismo de autenticación MONGODB-OIDC para autenticarse en varias plataformas.

Para obtener más información sobre el mecanismo de autenticación MONGODB-OIDC, consulte Autenticación de OpenID Connect y parámetros del servidor MongoDB en el manual del servidor MongoDB.

IMDS de Azure

Si su aplicación se ejecuta en una máquina virtual de Azure o utiliza el Servicio de metadatos de instancia de Azure (IMDS), puede autenticarse en MongoDB mediante la compatibilidad integrada de Azure del controlador Go.

Puede configurar OIDC para Azure IMDS de las siguientes maneras:

  • Crear una Credential struct y páselo al método SetAuth() cuando crea un cliente

  • Establezca parámetros en su cadena de conexión

Nota

Si los valores del campo de estructura AuthMechanismProperties incluyen una coma, debe crear una instancia Credential para configurar sus opciones de autenticación.

Primero, cree un mapa para almacenar las propiedades de su mecanismo de autenticación, como se muestra en el siguiente ejemplo. Reemplace el marcador <audience> con el valor del parámetro audience configurado en su implementación de MongoDB.

props := map[string]string{
       "ENVIRONMENT":    "azure",
       "TOKEN_RESOURCE": "<audience>",
}

Luego, configure los siguientes campos de estructura Credential:

  • Username:Si usa una identidad administrada de Azure, configúrelo en el identificador de cliente de la identidad administrada.

  • AuthMechanism:Establecer en "MONGODB-OIDC".

  • AuthMechanismProperties:Establezca el mapa props que creó anteriormente.

El siguiente ejemplo de código muestra cómo configurar estas opciones al crear un Client:

uri := "mongodb://<hostname>:<port>"
props := map[string]string{
	"ENVIRONMENT":    "azure",
	"TOKEN_RESOURCE": "<audience>",
}
opts := options.Client().ApplyURI(uri)
opts.SetAuth(
	options.Credential{
		Username:                "<Azure client ID or application ID>",
		AuthMechanism:           "MONGODB-OIDC",
		AuthMechanismProperties: props,
	},
)
client, err := mongo.Connect(opts)
if err != nil {
	panic(err)
}

Incluya las siguientes opciones de conexión en su cadena de conexión:

  • username:Si usa una identidad administrada de Azure, configúrelo en el identificador de cliente de la identidad administrada.

  • authMechanism:Establecer en MONGODB-OIDC.

  • authMechanismProperties: Establézcalo en ENVIRONMENT:azure,TOKEN_RESOURCE:<audience>. Reemplace el marcador <audience> con el valor del parámetro audience configurado en su implementación de MongoDB.

El siguiente ejemplo de código muestra cómo configurar estas opciones en su cadena de conexión:

uri := "mongodb://<hostname>:<port>/?" +
     "username=<Azure client ID or application ID>" +
     "&authMechanism=MONGODB-OIDC" +
     "&authMechanismProperties=ENVIRONMENT:azure,TOKEN_RESOURCE:<percent-encoded audience>"
client, err := mongo.Connect(options.Client().ApplyURI(uri))
if err != nil {
  panic(err)
}

Tip

Si su aplicación se ejecuta en una máquina virtual de Azure y solo una identidad administrada está asociada con la máquina virtual, puede omitir la opción de conexión username.

GCP IMDS

Si su aplicación se ejecuta en una máquina virtual de Google Compute Engine o utiliza el servicio de metadatos de instancia de GCP, puede autenticarse en MongoDB mediante la compatibilidad con GCP integrada del controlador Go.

Puede configurar OIDC para GCP IMDS de las siguientes maneras:

  • Crea una estructura Credential y pásala al método SetAuth() cuando creas un cliente

  • Establezca parámetros en su cadena de conexión

Nota

Si los valores del campo de estructura AuthMechanismProperties incluyen una coma, debe crear una instancia Credential para configurar sus opciones de autenticación.

Primero, cree un mapa para almacenar las propiedades de su mecanismo de autenticación, como se muestra en el siguiente ejemplo. Reemplace el marcador <audience> con el valor del parámetro audience configurado en su implementación de MongoDB.

props := map[string]string{
       "ENVIRONMENT":    "gcp",
       "TOKEN_RESOURCE": "<audience>",
}

Luego, configure los siguientes campos de estructura Credential:

  • AuthMechanism:Establecer en "MONGODB-OIDC".

  • AuthMechanismProperties:Establezca el mapa props que creó anteriormente.

El siguiente ejemplo de código muestra cómo configurar estas opciones al crear un Client:

uri := "mongodb://<hostname>:<port>"
props := map[string]string{
	"ENVIRONMENT":    "gcp",
	"TOKEN_RESOURCE": "<audience>",
}
opts := options.Client().ApplyURI(uri)
opts.SetAuth(
	options.Credential{
		AuthMechanism:           "MONGODB-OIDC",
		AuthMechanismProperties: props,
	},
)
client, err := mongo.Connect(opts)
if err != nil {
	panic(err)
}

Incluya las siguientes opciones de conexión en su cadena de conexión:

  • authMechanism:Establecer en MONGODB-OIDC.

  • authMechanismProperties: Establézcalo en ENVIRONMENT:gcp,TOKEN_RESOURCE:<audience>. Reemplace el marcador <audience> con el valor del parámetro audience configurado en su implementación de MongoDB.

El siguiente ejemplo de código muestra cómo configurar estas opciones en su cadena de conexión:

uri := "mongodb://<hostname>:<port>/?" +
     "&authMechanism=MONGODB-OIDC" +
     "&authMechanismProperties=ENVIRONMENT:gcp,TOKEN_RESOURCE:<percent-encoded audience>"
client, err := mongo.Connect(options.Client().ApplyURI(uri))
if err != nil {
  panic(err)
}

Devolución de llamada personalizada

El controlador Go no ofrece compatibilidad integrada con todas las plataformas, incluido AWS Elastic Kubernetes Service (EKS). Para autenticarse en plataformas no compatibles, debe definir una función de devolución de llamada personalizada que use OIDC para la autenticación. En el controlador, puede definir una función options.OIDCCallback y establecerla como el valor del campo de estructura OIDCMachineCallback en su estructura Credential.

El siguiente ejemplo define una devolución de llamada personalizada para un clúster EKS con un proveedor IAM OIDC configurado. El token de acceso se lee desde una ruta definida en la variable de entorno AWS_WEB_IDENTITY_TOKEN_FILE:

eksCallback := func(_ context.Context,
	_ *options.OIDCArgs) (*options.OIDCCredential, error) {
	accessToken, err := os.ReadFile(
		os.Getenv("AWS_WEB_IDENTITY_TOKEN_FILE"))
	if err != nil {
		return nil, err
	}
	return &options.OIDCCredential{
		AccessToken: string(accessToken),
	}, nil
}

Luego, puede crear una estructura Credential que use la función de devolución de llamada EKS que definió:

uri := "mongodb://<hostname>:<port>"
opts := options.Client().ApplyURI(uri)
opts.SetAuth(
	options.Credential{
		AuthMechanism:       "MONGODB-OIDC",
		OIDCMachineCallback: eksCallback,
	},
)
client, err := mongo.Connect(opts)
if err != nil {
	panic(err)
}

Otros entornos de Azure

Si su aplicación se ejecuta en Azure Functions, App Service Environment (ASE) o Azure Kubernetes Service (AKS), puede usar el módulo azidentity para obtener credenciales de autenticación.

Primero, instale el módulo azidentity ejecutando el siguiente comando:

go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity

Su OIDCCallback función debe devolver una OIDCCredential instancia que use la instancia AccessToken generada a partir del azidentity paquete. Consulte la sección anterior sobre devoluciones de llamada personalizadas para ver un ejemplo que implementa una devolucion de llamada personalizada para recuperar un token de acceso y luego crea una Credential instancia.

GCP GKE

Si su aplicación se ejecuta en un clúster de Google Kubernetes Engine (GKE) de GCP con una cuenta de servicio configurada, puede leer el token OIDC desde la ubicación del archivo de token de la cuenta de servicio estándar.

Primero, defina la función OIDCCallback. Esta función lee el token OIDC y devuelve una instancia OIDCCredential.

El siguiente ejemplo define una función de devolución de llamada llamada gkeCallback. Esta función recupera un token OIDC de un archivo en la ubicación estándar del archivo de tokens de la cuenta de servicio:

gkeCallback := func(_ context.Context,
	_ *options.OIDCArgs) (*options.OIDCCredential, error) {
	accessToken, err := os.ReadFile(
		"/var/run/secrets/kubernetes.io/serviceaccount/token")
	if err != nil {
		return nil, err
	}
	return &options.OIDCCredential{
		AccessToken: string(accessToken),
	}, nil
}

Luego, puedes crear una estructura Credential que use la función de devolución de llamada de GKE que definiste:

uri := "mongodb://<hostname>:<port>"
opts := options.Client().ApplyURI(uri)
opts.SetAuth(
	options.Credential{
		AuthMechanism:       "MONGODB-OIDC",
		OIDCMachineCallback: gkeCallback,
	},
)
client, err := mongo.Connect(opts)
if err != nil {
	panic(err)
}

Kubernetes

Si su aplicación se ejecuta en un clúster de Kubernetes con una cuenta de servicio configurada, puede autenticarse en MongoDB mediante la compatibilidad integrada con Kubernetes del controlador Go. Para obtener más información sobre cómo configurar una cuenta de servicio, consulte la guía "Administrar cuentas de servicio" en la documentación de Kubernetes.

Se puede configurar OIDC para Kubernetes de las siguientes maneras:

  • Crea una estructura Credential y pásala al método SetAuth() cuando creas un cliente

  • Establezca parámetros en su cadena de conexión

Nota

Si los valores del campo de estructura AuthMechanismProperties incluyen una coma, debe crear una instancia Credential para configurar sus opciones de autenticación.

Primero, crea un mapa para almacenar las propiedades de tu mecanismo de autenticación, como se muestra en el siguiente ejemplo:

props := map[string]string{
       "ENVIRONMENT":    "k8s",
}

Luego, configure los siguientes campos de estructura Credential:

  • AuthMechanism:Establecer en "MONGODB-OIDC".

  • AuthMechanismProperties:Establezca el mapa props que creó anteriormente.

El siguiente ejemplo de código muestra cómo configurar estas opciones al crear un Client:

uri := "mongodb://<hostname>:<port>"
props := map[string]string{
	"ENVIRONMENT": "k8s",
}
opts := options.Client().ApplyURI(uri)
opts.SetAuth(
	options.Credential{
		AuthMechanism:           "MONGODB-OIDC",
		AuthMechanismProperties: props,
	},
)
client, err := mongo.Connect(opts)
if err != nil {
	panic(err)
}

Incluya las siguientes opciones de conexión en su cadena de conexión:

  • authMechanism:Establecer en MONGODB-OIDC.

  • authMechanismProperties:Establecer en ENVIRONMENT:k8s.

El siguiente ejemplo de código muestra cómo configurar estas opciones en su cadena de conexión:

uri := "mongodb://<hostname>:<port>/?" +
         "&authMechanism=MONGODB-OIDC" +
         "&authMechanismProperties=ENVIRONMENT:k8s"
client, err := mongo.Connect(options.Client().ApplyURI(uri))
if err != nil {
       panic(err)
}

Información Adicional

Para obtener más información sobre los conceptos de esta guía, consulte la siguiente documentación:

Documentación de la API

Volver

AWS IAM

Next

LDAP (PLAIN)

En esta página