Carga de trabajo Identity Federation utiliza OAuth 2.0 para permitir que tus aplicaciones accedan a MongoDB utilizando identidades programáticas externas como Azure Service Principals, Azure Identities gestionadas y Google Service Accounts.
Importante
OpenID Connect (OIDC) solo es compatible con Linux.
Casos de uso
Con Workload Identity Federation, puede:
Gestiona el acceso de tu aplicación a las implementaciones de MongoDB a través de tu proveedor de nube existente o proveedor de identidad (IdP).
Aplicar políticas de seguridad como control de acceso basado en roles, rotación de credenciales y permisos específicos de carga de trabajo.
Otorgue acceso a aplicaciones, contenedores o máquinas virtuales específicos sin administrar cuentas de servicio individuales.
Comportamiento
Para utilizar la federación de identidad de carga de trabajo, debes utilizar MongoDB Enterprise y tener MongoDB 7.0.11 o una versión posterior.
Para verificar que está utilizando MongoDB Enterprise, pase la
--versionopción de línea de comandos para elmongodo:mongosmongod --version En la salida de este comando, busca la string
modules: subscriptionomodules: enterprisepara confirmar que estás usando los binarios de MongoDB Enterprise.La Federación de Identidades de Carga de Trabajo permite que sus aplicaciones accedan a clústeres de MongoDB con tokens de acceso OAuth 2.0. Estos tokens de acceso pueden ser emitidos por cualquier proveedor de identidad externo, como Azure Entra ID y Google Cloud Platform.
MongoDB almacena identificadores y privilegios de usuarios, pero no secretos.
Empezar
Para configurar y utilizar la federación de identidad de carga de trabajo, realice las siguientes tareas:
Configurar la federación de identidades de carga de trabajo
Registre su aplicación OAuth 2.0 con un IdP que admita el estándar OAuth 2.0, como entidades de servicio de Azure, identidades administradas de Azure y cuentas de servicio de Google.
Configura MongoDB con Federación de Identidad de Cargas de Trabajo
Configura tu servidor MongoDB para que use la Federación de identidad de carga de trabajo con OAuth 2.0.
Autoriza a los usuarios con federación de identidades de cargas de trabajo
Especifique privilegios para los principales de identidad de carga de trabajo agregando roles a MongoDB (para OAuth, autorización externa o ambos) o agregando usuarios de base de datos a MongoDB (para autorización administrada por base de datos).
Detalles
Los drivers MongoDB admiten dos tipos de flujo de autenticación para Workload Identity Federation: autenticación incorporada y autenticación de función de retorno.
Autenticación incorporada
Puede usar la autenticación integrada si implementa su aplicación en una infraestructura compatible con un tipo de principal compatible. Su aplicación puede acceder a los clústeres de MongoDB sin proporcionar una contraseña ni solicitar manualmente un token web JSON (JWT) al servicio de metadatos de su proveedor de nube. En su lugar, el controlador de MongoDB elegido utiliza su identificador de principal existente para solicitar un token de acceso JWT de forma interna, que se envía automáticamente al clúster de Atlas cuando su aplicación se conecta.
Para obtener más detalles de implementación, consulte su elección Documentación del conductor.
Infraestructura y tipos principales compatibles con la autenticación incorporada
Proveedor de nube | Tipo de infraestructura | Tipo principal |
|---|---|---|
Proveedor de Google Cloud (GCP) | Motor de cómputo | Cuentas de servicio de GCP |
Entorno estándar del motor de la aplicación | ||
Entorno flexible del motor de la aplicación | ||
Funciones en la nube | ||
Google Run | ||
Google Kubernetes Engine | ||
Cloud Build | ||
Azure | Azure VM | Identidades gestionadas de Azure (asignadas al usuario y al sistema) |
Autenticación de función de retorno
Puede usar la autenticación por devolución de llamada con cualquier servicio compatible con tokens de acceso OAuth 2.0. Workload Identity Federation llama a un método de devolución de llamada, en el que puede solicitar el JWT necesario a su servidor de autorización o proveedor de nube, que debe pasar cuando su aplicación se conecta a MongoDB con Workload Identity Federation.
Revise la documentación del controlador elegido para obtener más detalles de implementación.