A partir de MongoDB 8.0, la autenticación y autorización de LDAP están obsoletas. LDAP está disponible y continuará operando sin cambios durante toda la vida útil de MongoDB 8. LDAP se eliminará en una futura versión principal.
Se debe planificar la migración de LDAP a un método de autenticación alternativo.
La información completa sobre la migración de LDAP estará disponible en el futuro.
Detalles
Las siguientes secciones presentan métodos de autenticación alternativos para MongoDB Enterprise Advanced, MongoDB Atlas y MongoDB Atlas for Government autoadministrados.
MongoDB Enterprise Avanzado autogestionado
Para el acceso de usuarios, MongoDB recomienda migrar de LDAP a Workforce Identity Federation (autenticación OIDC). Workforce Identity Federation permite el acceso mediante inicio de sesión único (SSO) a sus bases de datos MongoDB autoadministradas mediante cualquier proveedor de identidad compatible con OIDC, como Microsoft Active Directory Federation Services (ADFS), Microsoft Entra ID, Okta y Ping Identity.
Para los usuarios programáticos, MongoDB recomienda migrar de LDAP a Workload Identity Federation. Con Workload Identity Federation, sus aplicaciones pueden usar bases de datos con tokens de acceso OAuth 2.0 proporcionados por su servicio de autorización.
También puedes usar usuarios principales de proveedores de nube, como identidades administradas de Microsoft Azure y cuentas de servicio de la Plataforma Google Cloud (GCP). Si no puedes utilizar Workload Identity Federation, MongoDB recomienda usar la autenticación de certificados X.509.
Para configurar la Federación de Identidad de la fuerza laboral (autenticación OIDC) con el servidor MongoDB, consulte Configure MongoDB con Workforce Identity Federation.
Para configurar la federación de identidad de carga de trabajo2.0 (OAuth7600) con el servidor MongoDB, consulta Configurar MongoDB con federación de identidad de carga de trabajo.
Para configurar Workforce y Workload Identity Federation con MongoDB Cloud Manager, consulte Habilita la autenticación y autorización con Cloud Manager.
Para configurar Workforce y la federación de identidad de carga de trabajo con MongoDB Ops Manager, consulta Habilitar autenticación y autorización con Ops Manager.
Algunas de las ventajas de Workforce and Workload Identity Federation en comparación con LDAP para una implementación de MongoDB autogestionada son:
No hay credenciales almacenadas en MongoDB: Las credenciales del usuario de unión LDAP se almacenan en MongoDB. Con Federación de identidad de Workforce o carga de trabajo, MongoDB no almacena credenciales ni secretos que otorguen acceso a los directorios del usuario.
Riesgo reducido entre aplicaciones: en una conexión LDAP, las credenciales LDAP del usuario se envían a MongoDB dentro de la cadena de conexión, lo cual es un riesgo para el acceso entre aplicaciones. Sin embargo, con Workforce y carga de trabajo Identity Federation, MongoDB nunca recibe un secreto. OIDC y OAuth 2.0 otorgan tokens de acceso para recursos específicos mediante los requisitos de audiencia. Si un token se ve comprometido, el token no puede utilizarse para acceder a otras aplicaciones.
Mayor seguridad con tokens de acceso: Identity Federation otorga acceso mediante tokens de acceso a corto plazo, lo que mejora la seguridad en comparación con LDAP. Los tokens de acceso suelen ser válidos durante una hora. El lapso de tiempo normalmente puede personalizarse según el proveedor de identidad.
Autenticación sin contraseñas para usuarios de aplicaciones: Si sus aplicaciones se ejecutan en la nube, Workload Identity Federation admite la autenticación sin contraseñas para aplicaciones que se ejecutan en recursos específicos de la nube. Esto elimina la necesidad de renovar periódicamente las credenciales.
MongoDB Atlas y Atlas para Gobierno
Para el acceso de usuarios humanos, MongoDB recomienda migrar de LDAP a la Federación de Identidad de Personal (autenticación OIDC). La Federación de Identidad de la fuerza laboral permite el acceso de inicio de sesión único (SSO) a sus clústeres de Atlas con cualquier proveedor de identidad que soporte OIDC, como Microsoft Entra ID, Okta, y Ping Identity.
Para usuarios programáticos, MongoDB recomienda migrar de la autenticación LDAP a la autenticación Amazon AWS-IAM o a la Federación de Identidad de Carga de Trabajo. Si tus aplicaciones se están ejecutando en recursos de AWS, puedes utilizar la autenticación AWS-IAM para acceder a tus clústeres de MongoDB Atlas con roles de AWS-IAM.
Si tus aplicaciones se ejecutan en sistemas Microsoft Azure o Google Cloud Platform, puedes usar la federación de identidad para cargas de trabajo para acceder a clústeres de Atlas con identidades gestionadas de Microsoft Azure o cuentas de servicio de Google Cloud Platform. Si no se puede utilizar AWS-IAM o carga de trabajo Identity Federation, MongoDB recomienda utilizar la autenticación de certificado X.509.
Para comenzar con Workforce y la federación de identidad de carga de trabajo, consulta Autenticación y autorización con OIDC/OAuth 2.0 en Atlas.
Para comenzar con la autenticación de AWS-IAM, consulta Configuración de autenticación con AWS-IAM.
Algunas de las ventajas de Workforce y carga de trabajo Identity Federation en comparación con LDAP en Atlas son:
Mejora de la seguridad de la red: LDAP requiere un Nombre de Dominio Totalmente Calificado (FQDN) público, lo que crea una posible vulnerabilidad en el cortafuegos. Con Workforce Identity Federation, puedes utilizar un proveedor de identidad (IdP) conectado a Internet y sincronizar una parte del directorio de usuarios con tu IdP para mejorar la seguridad con Workforce Identity Federation.
Manejo mejorado de credenciales: A diferencia de LDAP, las credenciales de usuario no se envían ni almacenan en MongoDB al usar Federation Workforce o carga de trabajo de identidad.
Políticas de autenticación moderna para usuarios humanos: Workforce Identity Federation permite la autenticación a través del proveedor de identidad, lo que facilita el uso de políticas de autenticación modernas.
Configuración simple: Los usuarios LDAP requieren una configuración de red compleja para Atlas. La federación de identidad tiene una configuración más simple.
Seguridad mejorada con tokens de acceso: la federación de identidad y la autenticación de carga de trabajo y personal y AWS-IAM conceden acceso mediante tokens de acceso a corto plazo, lo que mejora la seguridad en comparación con LDAP. Los tokens de acceso suelen ser válidos durante una hora. El período de tiempo generalmente se puede personalizar según el proveedor de identidad.
Autenticación sin contraseñas para usuarios de aplicaciones: Workload Identity Federation admite autenticación sin contraseñas para aplicaciones que se ejecutan en recursos específicos de la nube. Esto elimina la renovación periódica de credenciales.
Eficiencia de costos: Para el soporte Atlas Developer y Pro, LDAP tiene una tarifa como parte del paquete de Seguridad Avanzada. La federación de identidad de fuerza laboral y carga de trabajo no tiene un cargo adicional. Para conocer los precios, consulte: