Docs Menu
Docs Home
/ /
Carga de trabajo (Aplicaciones)
Docs Home
/ /
OIDC/OAuth 2.0
/
Carga de trabajo (Aplicaciones)
Docs Home
/
Gestión
/
Seguridad
/
Usuarios
/
Autenticación
/
OIDC/OAuth 2.0
/
Carga de trabajo (Aplicaciones)

Configurar la federación de identidades de carga de trabajo

Para configurar la federación de identidades de carga de trabajo mediante OAuth 2.0, registre su aplicación OAuth 2.0 con un proveedor de identidad externo como Microsoft Azure o Google Cloud Platform (GCP). Esto permite una autenticación segura y optimiza la gestión de usuarios.

Acerca de esta tarea

Workload Identity Federation utiliza tokens de acceso OAuth2.0. Estos tokens pueden ser emitidos por cualquier proveedor de identidad externo.

Los siguientes procedimientos configuran Microsoft Azure Entra ID y Google Cloud Platform como proveedores de identidad externos para MongoDB.

Antes de comenzar

  • Para utilizar Microsoft Azure como proveedor de identidad, debe tener una Cuenta de Microsoft Azure.

  • Para utilizar Google Cloud como proveedor de identidad, debe tener una cuenta de Google Cloud.

Pasos

Para acceder a instancias autoadministradas de MongoDB con Azure Managed Identities o Azure Service Principals, debe registrar una aplicación de Azure Entra ID. Si ya tiene un registro de aplicación para Acceso de la fuerzalaboral (usuario humano): le recomendamos que registre una aplicación separada para el acceso a la carga de trabajo.

1

Registrar una aplicación

  1. Navegar a App registrations.

    1. En la cuenta del portal de Azure, buscar y hacer clic en Microsoft Entra ID.

    2. En la sección Manage de la navegación izquierda, hacer clic en App registrations.

  2. Haga clic en New registration.

  3. Aplicar los siguientes valores.

    Campo
    Valor

    Name

    MongoDB - Workload

    Supported Account Types

    Accounts in this organizational directory only (single tenant)

    Redirect URI

    Web

2

(Opcional) Agregar reclamo de grupos

Para el acceso a las aplicaciones, se recomienda usar identificadores de entidad de servicio como identificadores de usuario de MongoDB al definir los derechos de acceso en las implementaciones autoadministradas de MongoDB. Si planea usar este enfoque común, omita este paso. Sin embargo, si prefiere usar identificadores de grupo, como el identificador del grupo de seguridad de Azure AD, puede configurar la notificación de grupos en el registro de la aplicación siguiendo los pasos a continuación.

  1. Ir a Token Configuration.

    En la sección Manage de la navegación izquierda, hacer clic en Token Configuration.

  2. Haga clic en Add groups claim.

  3. En el cuadro modal Edit groups claim, seleccionar Security.

    Los grupos que seleccione dependen del tipo de grupos que haya configurado en su entorno de Azure. Es posible que necesite seleccionar un tipo diferente de grupo para enviar la información de grupo adecuada.

  4. En la sección Customize token properties by type, es importante que se seleccione solo Group ID.

    Si seleccionas Group ID, Azure envía el ID de objeto del grupo de seguridad.

  5. Haga clic en Add.

    Para aprender más sobre cómo agregar una reclamación de grupo, se puede consultar Documentación de Azure.

3

Habilitar una URI de ID de aplicación

  1. Ir a Expose an API en la barra lateral izquierda y activar el URI del ID de la aplicación.

  2. Habilitar un URI de ID de la aplicación.

    Mantenga el URI de ID de aplicación predeterminado asignado por Azure, que es <application_client_id>Copie y almacene este valor, ya que las implementaciones de MongoDB autoadministradas y todos los controladores de MongoDB requieren este valor para la configuración de la federación de identidad de carga de trabajo.

4

Actualizar el manifiesto

  1. En la sección Manage de la navegación izquierda, hacer clic en Manifest.

  2. Actualizar el requestedAccessTokenVersion de null a 2.

    El número 2 representa la versión 2 de los tokens de acceso de Microsoft. Otras aplicaciones pueden usarlo como prueba de la identidad del usuario administrado por Active Directory. La versión 2 garantiza que el token sea un token web JSON compatible con MongoDB.

  3. Haga clic en Save.

Para aprender más sobre cómo agregar una reclamación opcional, se puede consultar Documentación de Azure.

5

Recordar metadatos

  1. En la navegación izquierda, hacer clic en Overview.

  2. En la navegación superior, haga clic en Endpoints.

    Copia el valor OpenID Connect metadata document, excluyendo /.well-known/openid-configuration.

    También puede recuperar este valor siguiendo la URL OpenID Connect metadata document y copiando el valor de issuer.

La siguiente tabla muestra a qué se asignan estos valores de UI de ID de Microsoft Entra en el oidcIdentityProviders parámetro MongoDB:

Microsoft Entra ID UI
Campo de parámetro oidcIdentityProviders de MongoDB

OpenID Connect metadata document (without /.well-known/openid-configuration)

issuer

Application ID URI

audience

No es necesario realizar ningún cambio de configuración en su cuenta de servicio Google Cloud.

Volver

Carga de trabajo (Aplicaciones)

Next

Configurar MongoDB con Workload Identity Federation

En esta página