Configure MongoDB con Workload Identity Federation para autenticar servicios en diferentes plataformas. Esto mejora la seguridad y simplifica la gestión de identidades de servicios.
Importante
OpenID Connect (OIDC) solo es compatible con Linux.
Antes de comenzar
Asegúrese de estar en MongoDB Enterprise.
Para verificar que está utilizando MongoDB Enterprise, pase la
--versionopción de línea de comandos para elmongodo:mongosmongod --version En la salida de este comando, busque la cadena
modules: subscriptionomodules: enterprisepara confirmar que está utilizando los binarios de MongoDB Enterprise.Configure su proveedor de identidad externo. Para obtener más información, consulte Configurar la federación de identidades de carga de trabajo.
Pasos
Configura el servidor MongoDB con OpenID Connect (OIDC)
Para configurar el servidor MongoDB, habilite el mecanismo de autenticación MONGODB-OIDC y utilice oidcIdentityProviders para especificar las configuraciones del proveedor de identidad (IDP).
Nota
Al configurar MongoDB para la federación de identidad de carga de trabajo, establezca el supportsHumanFlows campo oidcIdentityProviders en false en.
Puede configurar el servidor MongoDB utilizando su archivo de configuración o la línea de comandos.
Para utilizar su archivo de configuración, especifique estos parámetros en el archivo:
setParameter: authenticationMechanisms: MONGODB-OIDC oidcIdentityProviders: '[ { "issuer": "https://okta-test.okta.com", "audience": "example@kernel.mongodb.com", "authNamePrefix": "okta-issuer", "authorizationClaim": "groups", "supportsHumanFlows": false, } ]'
Para especificar varios proveedores de identidad, añada objetos adicionales a la matriz oidcIdentityProviders. Por ejemplo:
setParameter: authenticationMechanisms: MONGODB-OIDC oidcIdentityProviders: '[ { "issuer": "https://okta-test.okta.com", "audience": "example@kernel.mongodb.com", "authNamePrefix": "okta-issuer", "authorizationClaim": "groups", "supportsHumanFlows": false, }, { "issuer": "https://azure-test.azure.com", "audience": "example2@kernel.mongodb.com", "authNamePrefix": "azure-issuer", "authorizationClaim": "groups", "supportsHumanFlows": false, } ]'
Para utilizar la línea de comandos, especifique las siguientes opciones de inicio:
mongod --auth --setParameter authenticationMechanisms=MONGODB-OIDC --setParameter \ 'oidcIdentityProviders=[ { "issuer": "https://okta-test.okta.com", "audience": "example@kernel.mongodb.com", "authNamePrefix": "okta-issuer", "authorizationClaim": "groups", "supportsHumanFlows": false, } ]'
Para especificar varios proveedores de identidad, añada objetos adicionales a la matriz oidcIdentityProviders. Por ejemplo:
mongod --auth --setParameter authenticationMechanisms=MONGODB-OIDC --setParameter \ 'oidcIdentityProviders=[ { "issuer": "https://okta-test.okta.com", "audience": "example@kernel.mongodb.com", "authNamePrefix": "okta-issuer", "authorizationClaim": "groups", "supportsHumanFlows": false }, { "issuer": "https://azure-test.azure.com", "audience": "example2@kernel.mongodb.com", "authNamePrefix": "azure-issuer", "authorizationClaim": "groups", "supportsHumanFlows": false } ]'
(Opcional) Habilitar autorización interna
Para habilitar la autorización interna, configure el campo useAuthorizationClaim del parámetro oidcIdentityProviders a false. Esta configuración permite una gestión de usuarios más flexible al depender de documentos de usuario en lugar de afirmaciones de autorización del proveedor de identidad.
Importante
Si useAuthorizationClaim se establece false en, no incluya el authorizationClaim campo.
setParameter: authenticationMechanisms: MONGODB-OIDC oidcIdentityProviders: '[ { "issuer": "https://okta-test.okta.com", "audience": "example@kernel.mongodb.com", "authNamePrefix": "okta-issuer", "useAuthorizationClaim": false, "supportsHumanFlows": false, } ]'
Para especificar varios proveedores de identidad, añada objetos adicionales a la matriz oidcIdentityProviders. Por ejemplo:
setParameter: authenticationMechanisms: MONGODB-OIDC oidcIdentityProviders: '[ { "issuer": "https://okta-test.okta.com", "audience": "example@kernel.mongodb.com", "authNamePrefix": "okta-issuer", "useAuthorizationClaim": false, "supportsHumanFlows": false, }, { "issuer": "https://azure-test.azure.com", "audience": "example2@kernel.mongodb.com", "authNamePrefix": "azure-issuer", "useAuthorizationClaim": false, "supportsHumanFlows": false, } ]'
mongod --auth --setParameter authenticationMechanisms=MONGODB-OIDC --setParameter \ 'oidcIdentityProviders=[ { "issuer": "https://okta-test.okta.com", "audience": "example@kernel.mongodb.com", "authNamePrefix": "okta-issuer", "useAuthorizationClaim": false, "supportsHumanFlows": false, } ]'
Para especificar varios proveedores de identidad, añada objetos adicionales a la matriz oidcIdentityProviders. Por ejemplo:
mongod --auth --setParameter authenticationMechanisms=MONGODB-OIDC --setParameter \ 'oidcIdentityProviders=[ { "issuer": "https://okta-test.okta.com", "audience": "example@kernel.mongodb.com", "authNamePrefix": "okta-issuer", "useAuthorizationClaim": false, "supportsHumanFlows": false, }, { "issuer": "https://azure-test.azure.com", "audience": "example2@kernel.mongodb.com", "authNamePrefix": "azure-issuer", "useAuthorizationClaim": false, "supportsHumanFlows": false, } ]'
Al establecer useAuthorizationClaim en false, los usuarios que se autentican con el mecanismo MONGODB-OIDC obtienen sus derechos de autorización de un documento de usuario en $external. El servidor busca un documento de usuario con un _id que coincida con el valor de la reclamación authNamePrefix/principalName en cada intento de autenticación basada en OIDC para un usuario de su proveedor de identidad.
Certificados de CA(condicionales) para 509 TLS interno X
En entornos que utilizan509 certificados TLS X firmados por una autoridad de certificación (CA) interna, debe agregar el certificado de CA al paquete de certificados de CA del sistema para que mongod pueda comunicarse con el proveedor de identidad. Esto se aplica a la autenticación de usuarios y a la autenticación de la carga de trabajo al usar el método de devolución de llamada. Omitir este paso podría generar errores de verificación de clave JWT o certificado SSL de OIDC.