A partir de MongoDB 8.0, la autenticación y autorización de LDAP están obsoletas. LDAP está disponible y continuará operando sin cambios durante toda la vida útil de MongoDB 8. LDAP se eliminará en una futura versión principal.
Debe planificar migrar de LDAP a un método de autenticación alternativo.
La información completa sobre la migración de LDAP estará disponible en el futuro.
Detalles
Las siguientes secciones presentan métodos de autenticación alternativos para MongoDB Enterprise Advanced, MongoDB Atlas y MongoDB Atlas for Government autoadministrados.
MongoDB Enterprise Avanzado autogestionado
Para el acceso de usuarios, MongoDB recomienda migrar de LDAP a Workforce Identity Federation (autenticación OIDC). Workforce Identity Federation permite el acceso mediante inicio de sesión único (SSO) a sus bases de datos MongoDB autoadministradas mediante cualquier proveedor de identidad compatible con OIDC, como Microsoft Active Directory Federation Services (ADFS), Microsoft Entra ID, Okta y Ping Identity.
Para los usuarios programáticos, MongoDB recomienda migrar de LDAP a Workload Identity Federation. Con Workload Identity Federation, sus aplicaciones pueden usar bases de datos con tokens de acceso OAuth 2.0 proporcionados por su servicio de autorización.
También puede usar entidades de seguridad de proveedores de nube, como Microsoft Azure Managed Identities y cuentas de servicio de Google Cloud Platform (GCP). Si no puede usar Workload Identity Federation, MongoDB recomienda usar la autenticación con certificado X.509.
Para configurar Workforce Identity Federation (autenticación OIDC) con el servidor MongoDB, consulte Configurar MongoDB con Workforce Identity Federation.
Para configurar Workload Identity Federation (OAuth)2.0 con el servidor MongoDB, consulte Configurar MongoDB con Workload Identity Federation.
Para configurar Workforce y Workload Identity Federation con MongoDB Cloud Manager, consulte Habilitar la autenticación y autorización con Cloud Manager.
Para configurar Workforce y Workload Identity Federation con MongoDB Ops Manager, consulte Habilitar autenticación y autorización con Ops Manager.
Algunas de las ventajas de Workforce and Workload Identity Federation en comparación con LDAP para una implementación de MongoDB autogestionada son:
No se almacenan credenciales en MongoDB: Las credenciales de usuario vinculadas a LDAP se almacenan en MongoDB. Con Workforce o Workload Identity Federation, MongoDB no almacena credenciales ni secretos que otorguen acceso a los directorios de usuario.
Reducción del riesgo entre aplicaciones: En una conexión LDAP, las credenciales LDAP del usuario se envían a MongoDB dentro de la cadena de conexión, lo que supone un riesgo para el acceso entre aplicaciones. Sin embargo, con Workforce y Workload Identity Federation, MongoDB nunca recibe un secreto. OIDC y OAuth 2.0 otorgan tokens de acceso a recursos específicos mediante notificaciones de audiencia. Si un token se ve comprometido, no se puede utilizar para acceder a otras aplicaciones.
Seguridad mejorada con tokens de acceso: La federación de identidades otorga acceso mediante tokens de acceso a corto plazo, lo que mejora la seguridad en comparación con LDAP. Los tokens de acceso suelen tener una validez de una hora. Este periodo suele personalizarse según el proveedor de identidad.
Autenticación sin contraseñas para usuarios de aplicaciones: Si sus aplicaciones se ejecutan en la nube, Workload Identity Federation admite la autenticación sin contraseñas para aplicaciones que se ejecutan en recursos específicos de la nube. Esto elimina la necesidad de renovar periódicamente las credenciales.
MongoDB Atlas y Atlas para el Gobierno
Para el acceso de usuarios, MongoDB recomienda migrar de LDAP a Workforce Identity Federation (autenticación OIDC). Workforce Identity Federation permite el inicio de sesión único (SSO) a sus clústeres de Atlas con cualquier proveedor de identidad compatible con OIDC, como Microsoft Entra ID, Okta y Ping Identity.
Para los usuarios programáticos, MongoDB recomienda migrar de LDAP a la autenticación de Amazon AWS-IAM o a Workload Identity Federation. Si sus aplicaciones se ejecutan en recursos de AWS, puede usar la autenticación de AWS-IAM para acceder a sus clústeres de MongoDB Atlas con roles de AWS-IAM.
Si sus aplicaciones se ejecutan en sistemas Microsoft Azure o Google Cloud Platform, puede usar Workload Identity Federation para acceder a los clústeres de Atlas con identidades administradas de Microsoft Azure o cuentas de servicio de Google Cloud Platform. Si no puede usar AWS-IAM ni Workload Identity Federation, MongoDB recomienda usar la autenticación con certificado X.509.
Para comenzar a utilizar Workforce and Workload Identity Federation, consulte Autenticación y autorización con OIDC/OAuth 2.0 en Atlas.
Para comenzar con la autenticación de AWS-IAM, consulta Configuración de autenticación con AWS-IAM.
Algunas de las ventajas de Workforce and Workload Identity Federation en comparación con LDAP en Atlas son:
Seguridad de red mejorada: LDAP requiere un nombre de dominio completo (FQDN) público, lo que crea una posible vulnerabilidad en el firewall. Con Workforce Identity Federation, puede usar un proveedor de identidad (IdP) conectado a Internet y sincronizar parte del directorio de usuarios con su IdP para mejorar la seguridad con Workforce Identity Federation.
Manejo mejorado de credenciales: a diferencia de LDAP, las credenciales de usuario no se envían ni se almacenan en MongoDB cuando se utiliza Workforce o Workload Identity Federation.
Políticas de autenticación modernas para usuarios humanos: Workforce Identity Federation permite la autenticación a través de IdP, lo que posibilita el uso de políticas de autenticación modernas.
Configuración sencilla: Los usuarios de LDAP requieren una configuración de red compleja para Atlas. La Federación de Identidades ofrece una configuración más sencilla.
Seguridad mejorada con tokens de acceso: La autenticación de Workforce y Workload Identity Federation y AWS-IAM otorga acceso mediante tokens de acceso a corto plazo, lo que mejora la seguridad en comparación con LDAP. Los tokens de acceso suelen tener una validez de una hora. Este periodo se puede personalizar según el proveedor de identidad.
Autenticación sin contraseñas para usuarios de aplicaciones: Workload Identity Federation permite la autenticación sin contraseñas para aplicaciones que se ejecutan en recursos específicos de la nube. Esto elimina la necesidad de renovar periódicamente las credenciales.
Rentabilidad: Para el soporte de Atlas Developer y Pro, LDAP tiene un costo como parte del paquete de Seguridad Avanzada. Workforce y Workload Identity Federation no tienen costo adicional. Para consultar precios, consulte: