Configura MongoDB con Workload Identity Federation para autenticar servicios a través de diferentes plataformas. Esto mejora la seguridad y simplifica la gestión de la identidad del servicio.
Importante
OpenID Connect (OIDC) solo es compatible con Linux.
Antes de comenzar
Asegúrate de estar en MongoDB Enterprise.
Para verificar que está utilizando MongoDB Enterprise, pasa el
--versionopción de línea de comandos para elmongodomongos:mongod --version En la salida de este comando, busca la string
modules: subscriptionomodules: enterprisepara confirmar que estás usando los binarios de MongoDB Enterprise.Configura tu externo proveedor de identidad. Para obtener más detalles, consulte Configurar la federación de identidad de cargas de trabajo.
Pasos
Configura el servidor MongoDB con OpenID Connect (OIDC)
Para configurar el servidor de MongoDB, activa el mecanismo de autenticación MONGODB-OIDC y utiliza proveedor de identidad para especificar la oidcIdentityProviders configuración del proveedor de identidad.
Nota
Al configurar MongoDB para la federación de identidades de cargas de trabajo, establezca el campo supportsHumanFlows en oidcIdentityProviders a false.
Puede configurar el servidor MongoDB utilizando su archivo de configuración o la línea de comandos.
Para utilizar el archivo de configuración, especifica estos parámetros en el archivo:
setParameter: authenticationMechanisms: MONGODB-OIDC oidcIdentityProviders: '[ { "issuer": "https://okta-test.okta.com", "audience": "example@kernel.mongodb.com", "authNamePrefix": "okta-issuer", "authorizationClaim": "groups", "supportsHumanFlows": false, } ]'
Para especificar múltiples IdP, añade objetos adicionales al arreglo oidcIdentityProviders. Por ejemplo:
setParameter: authenticationMechanisms: MONGODB-OIDC oidcIdentityProviders: '[ { "issuer": "https://okta-test.okta.com", "audience": "example@kernel.mongodb.com", "authNamePrefix": "okta-issuer", "authorizationClaim": "groups", "supportsHumanFlows": false, }, { "issuer": "https://azure-test.azure.com", "audience": "example2@kernel.mongodb.com", "authNamePrefix": "azure-issuer", "authorizationClaim": "groups", "supportsHumanFlows": false, } ]'
Para utilizar la línea de comandos, especifica las siguientes opciones de inicio:
mongod --auth --setParameter authenticationMechanisms=MONGODB-OIDC --setParameter \ 'oidcIdentityProviders=[ { "issuer": "https://okta-test.okta.com", "audience": "example@kernel.mongodb.com", "authNamePrefix": "okta-issuer", "authorizationClaim": "groups", "supportsHumanFlows": false, } ]'
Para especificar múltiples IdP, añade objetos adicionales al arreglo oidcIdentityProviders. Por ejemplo:
mongod --auth --setParameter authenticationMechanisms=MONGODB-OIDC --setParameter \ 'oidcIdentityProviders=[ { "issuer": "https://okta-test.okta.com", "audience": "example@kernel.mongodb.com", "authNamePrefix": "okta-issuer", "authorizationClaim": "groups", "supportsHumanFlows": false }, { "issuer": "https://azure-test.azure.com", "audience": "example2@kernel.mongodb.com", "authNamePrefix": "azure-issuer", "authorizationClaim": "groups", "supportsHumanFlows": false } ]'
(Opcional) Habilitar autorización interna
Para habilitar la autorización interna, configure el campo useAuthorizationClaim del parámetro oidcIdentityProviders a false. Esta configuración permite una gestión de usuarios más flexible al confiar en los documents de usuario en lugar de las autorizaciones de proveedor de identidad.
Importante
Si useAuthorizationClaim está establecido en false, no incluya el campo authorizationClaim.
setParameter: authenticationMechanisms: MONGODB-OIDC oidcIdentityProviders: '[ { "issuer": "https://okta-test.okta.com", "audience": "example@kernel.mongodb.com", "authNamePrefix": "okta-issuer", "useAuthorizationClaim": false, "supportsHumanFlows": false, } ]'
Para especificar múltiples IdP, añade objetos adicionales al arreglo oidcIdentityProviders. Por ejemplo:
setParameter: authenticationMechanisms: MONGODB-OIDC oidcIdentityProviders: '[ { "issuer": "https://okta-test.okta.com", "audience": "example@kernel.mongodb.com", "authNamePrefix": "okta-issuer", "useAuthorizationClaim": false, "supportsHumanFlows": false, }, { "issuer": "https://azure-test.azure.com", "audience": "example2@kernel.mongodb.com", "authNamePrefix": "azure-issuer", "useAuthorizationClaim": false, "supportsHumanFlows": false, } ]'
mongod --auth --setParameter authenticationMechanisms=MONGODB-OIDC --setParameter \ 'oidcIdentityProviders=[ { "issuer": "https://okta-test.okta.com", "audience": "example@kernel.mongodb.com", "authNamePrefix": "okta-issuer", "useAuthorizationClaim": false, "supportsHumanFlows": false, } ]'
Para especificar múltiples IdP, añade objetos adicionales al arreglo oidcIdentityProviders. Por ejemplo:
mongod --auth --setParameter authenticationMechanisms=MONGODB-OIDC --setParameter \ 'oidcIdentityProviders=[ { "issuer": "https://okta-test.okta.com", "audience": "example@kernel.mongodb.com", "authNamePrefix": "okta-issuer", "useAuthorizationClaim": false, "supportsHumanFlows": false, }, { "issuer": "https://azure-test.azure.com", "audience": "example2@kernel.mongodb.com", "authNamePrefix": "azure-issuer", "useAuthorizationClaim": false, "supportsHumanFlows": false, } ]'
Cuando estableces useAuthorizationClaim en false, los usuarios que se autentican con el mecanismo MONGODB-OIDC obtienen sus derechos de autorización de un user document en $external. El servidor busca un document de usuario con un _id que coincida con el valor del atributo authNamePrefix/principalName en cada intento de autenticación OIDC para un usuario de su proveedor de identidad.
(Condicional) Certificados CA para TLS internos de X509
Para los entornos que utilizan certificados TLS de X509 firmados por una Autoridad de Certificación (CA) interna, se debe añadir el certificado de la CA al paquete de certificados de CA del sistema para que mongod pueda comunicarse con el proveedor de identidad. Esto se aplica a la autenticación de usuarios y a la autenticación de cargas de trabajo cuando se utiliza el método de función de retorno. Omitir este paso podría ocasionar errores de verificación de certificado SSL OIDC o de clave JWT.