Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/ /
Carga de trabajo (Aplicaciones)
Docs Home
/ /
OIDC/OAuth 2.0
/
Carga de trabajo (Aplicaciones)
Docs Home
/
Gestión
/
Seguridad
/
Usuarios
/
Autenticación
/
OIDC/OAuth 2.0
/
Carga de trabajo (Aplicaciones)

Configurar la federación de identidades de carga de trabajo

Para configurar la federación de identidades de cargas de trabajo utilizando OAuth 2.0, registre su aplicación OAuth 2.0 con un proveedor de identidad externo, como Microsoft Azure o Google Cloud Platform (GCP). Esto permite una autenticación segura y agiliza la gestión de usuarios.

Acerca de esta tarea

La Federación de Identidad de carga de trabajo utiliza OAuth2.0 tokens de acceso. Estos tokens pueden ser emitidos por cualquier proveedor de identidad.

Los siguientes procedimientos configuran Microsoft Azure Entra ID y Google Cloud Platform como proveedores de identidad externos para MongoDB.

Antes de comenzar

  • Para usar Microsoft Azure como proveedor de identidad, debes tener un Cuenta de Microsoft Azure.

  • Para utilizar Google Cloud como proveedor de identidad, debe tener una cuenta de Google Cloud.

Pasos

Para acceder a instancias autogestionadas de MongoDB con identidades administradas de Azure o Azure Service Principals, debe registrar una aplicación de Azure Entra ID. Si tienes un registro de aplicación existente para Se recomienda registrar una aplicación separada para el acceso a la carga de trabajo para el acceso de fuerza laboral (usuario humano).

1

Registrar una aplicación

  1. Navegar a App registrations.

    1. En la cuenta del portal de Azure, buscar y hacer clic en Microsoft Entra ID.

    2. En la sección Manage de la navegación izquierda, hacer clic en App registrations.

  2. Haga clic en New registration.

  3. Aplicar los siguientes valores.

    Campo
    Valor

    Name

    MongoDB - Workload

    Supported Account Types

    Accounts in this organizational directory only (single tenant)

    Redirect URI

    Web

2

(Opcional) Agregar reclamaciones de grupo

Para el acceso a la aplicación, es una de las mejores prácticas usar identificadores de principal de servicio como identificadores de usuario de MongoDB al definir los derechos de acceso en implementaciones autogestionadas de MongoDB. Si planeas usar este enfoque común, salta este paso. Sin embargo, si prefieres utilizar identificadores de grupo, como el identificador de grupo de seguridad de Azure AD, puedes configurar la reclamación de grupos en el registro de tu aplicación con los siguientes pasos.

  1. Ir a Token Configuration.

    En la sección Manage de la navegación izquierda, hacer clic en Token Configuration.

  2. Haga clic en Add groups claim.

  3. En el cuadro modal Edit groups claim, seleccionar Security.

    Los grupos que seleccione dependen del tipo de grupos que haya configurado en su entorno de Azure. Es posible que necesite seleccionar un tipo diferente de grupo para enviar la información de grupo adecuada.

  4. En la sección Customize token properties by type, es importante que se seleccione solo Group ID.

    Si seleccionas Group ID, Azure envía el ID de objeto del grupo de seguridad.

  5. Haga clic en Add.

    Para aprender más sobre cómo agregar una reclamación de grupo, se puede consultar Documentación de Azure.

3

Habilitar una URI de ID de aplicación

  1. Ir a Expose an API en la barra lateral izquierda y activar el URI del ID de la aplicación.

  2. Habilitar un URI de ID de la aplicación.

    Mantén el URI de ID de la aplicación por defecto asignado por Azure, que es <application_client_id>. Copia y almacena este valor, ya que las implementaciones autogestionadas de MongoDB y todos los controladores de MongoDB requieren este valor para la configuración de la Federación de Identidad de Carga de Trabajo.

4

Actualiza el manifiesto

  1. En la sección Manage de la navegación izquierda, hacer clic en Manifest.

  2. Actualizar el requestedAccessTokenVersion de null a 2.

    El número 2 representa la versión 2 de los tokens de acceso de Microsoft. Otras aplicaciones pueden usar esto como prueba de la identidad del usuario gestionado por Active Directory. La versión 2 garantiza que el token sea un JSON Web Token que MongoDB entiende.

  3. Haga clic en Save.

Para aprender más sobre cómo agregar una reclamación opcional, se puede consultar Documentación de Azure.

5

Recuerda los metadatos

  1. En la navegación izquierda, hacer clic en Overview.

  2. En la navegación superior, haga clic en Endpoints.

    Copia el valor de OpenID Connect metadata document, excluyendo /.well-known/openid-configuration.

    También puedes recuperar este valor siguiendo la URL OpenID Connect metadata document y copiando el valor para issuer.

La siguiente tabla muestra a qué corresponden estos valores de la Interfaz de Usuario de Microsoft Entra ID en el parámetro oidcIdentityProviders de MongoDB:

Microsoft Entra ID UI
MongoDB oidcIdentityProviders Campo de Parámetro

OpenID Connect metadata document (without /.well-known/openid-configuration)

issuer

Application ID URI

audience

No es necesario realizar ningún cambio de configuración en su cuenta de servicio Google Cloud.

Volver

Carga de trabajo (Aplicaciones)

Next

Configura MongoDB con Federación de Identidad de Cargas de Trabajo

En esta página