Make the MongoDB docs better! We value your opinion. Share your feedback for a chance to win $100.
Click here >
Docs Menu
Docs Home
/ /
Seguridad
Docs Home
/
Gestión
/
Gerente de Operaciones
/
Seguridad
Docs Home
/
Gestión
/
Gerente de Operaciones
/
Seguridad

Configurar usuarios de Ops Manager para OIDC autenticación

Overview

Puede utilizar OpenID Connect (OIDC) para gestionar la autenticación y autorización de los usuarios de Ops Manager con un proveedor de identidad externo (proveedor de identidad). Cuando intentas acceder a Ops Manager sin una sesión autenticada, Ops Manager te redirige a tu proveedor de identidad para iniciar sesión. Después de autenticarte, regresas a Ops Manager.

Este tutorial describe cómo:

  • Configura la autenticación OIDC para Ops Manager.

  • Mapear los grupos OIDC a Ops Manager Roles de organización y roles de proyecto.

  • Gestiona las asignaciones de roles de organización y proyecto con la API pública.

Considerations

Utilice HTTPS para OIDC

HTTPS se recomienda encarecidamente para Ops Manager en general, y especialmente para OIDC. Es posible que algunas integraciones de proveedor de identidad no funcionen correctamente si Ops Manager no utiliza HTTPS.

Requisitos previos

Para configurar la integración de OIDC, debe realizar las siguientes acciones en su proveedor de identidad:

1

Crea una aplicación de cliente para Ops Manager.

Agrega tu URL de Ops Manager a la lista de URIs de redirección permitidas.

2

(Condicional) Crear un usuario que se asocie a tu Ops Manager Global Owner.

Este paso solo es necesario si necesitas conservar el mismo usuario.

3

Crear un grupo para el/la Global Owner rol y añade al usuario al mismo.

4

Crea grupos para otros roles según sea necesario.

Procedimiento

Configurar la autenticación OIDC:

1

Selecciona OIDC como el método de autenticación.

En Ops Manager:

  1. Haz clic en Admin, General, Ops Manager Config, User Authentication.

  2. Configura la opción User Authentication Method en OIDC.

2

Configura los ajustes de conexión OIDC.

Especifica valores para los campos obligatorios y luego establece los campos opcionales según sea necesario.

La siguiente tabla asigna los campos de la interfaz de usuario de Ops Manager a los campos del archivo de configuración.

Campo de la IU de Ops Manager
Campo de archivo de configuración
Requerido
Descripción

Issuer URI

mms.oidc.issuer.uri

URI del emisor o URL del documento de descubrimiento de metadatos OIDC.

Client ID

mms.oidc.client.id

Identificador de cliente asignado a Ops Manager por el proveedor de identidad.

Client Secret

mms.oidc.client.secret

El secreto del cliente asignado a Ops Manager por el proveedor de identidad.

Custom CA Certificate (PEM)

mms.oidc.customCaCertificate

No

Certificado o certificados CA codificados en PEM en los que confiar al conectarse al proveedor de identidad. Use esto cuando su proveedor de identidad utilice un certificado CA privado o autofirmado. Puedes concatenar múltiples certificados.

Enable PKCE (Proof Key for Code Exchange)

mms.oidc.pkce.enabled

Habilitación de PKCE para el flujo de código de autorización. Se recomienda y está habilitado por defecto. Desactiva sólo si tu proveedor de identidad no es compatible con PKCE para clientes confidenciales. Valor por defecto: true.

Requested Scopes

mms.oidc.requestedScopes

No

Lista de alcance que Ops Manager solicita desde el endpoint de autorización.

Service Provider Base URL

mms.oidc.sp.baseUrl

No

URL base para el proveedor de servicios OIDC. Si no configuras este valor, Ops Manager utiliza mms.centralUrl. Utiliza esto cuando necesites diferentes URLs para acceder a Ops Manager.

Global Role Owner Groups

mms.oidc.global.role.owner

Lista separada por comas de grupos de proveedor de identidad cuyos nodos tienen asignado el rol de Propietario global. Los propietarios globales tienen privilegios completos sobre esta implementación, incluyendo todos los permisos administrativos.

Global Automation Admin Groups

mms.oidc.global.role.automationAdmin

No

Lista separada por comas de grupos de proveedor de identidad cuyos miembros reciben el rol de Administrador Global de Automatización.

Global Backup Admin Groups

mms.oidc.global.role.backupAdmin

No

Lista separada por comas de grupos de IdP cuyos nodos tienen asignado el rol de administrador global de copias de seguridad.

Global Monitoring Admin Groups

mms.oidc.global.role.monitoringAdmin

No

Lista separada por comas de los grupos de proveedor de identidad cuyos miembros tienen asignado el rol de Administrador global de supervisión.

Global User Admin Groups

mms.oidc.global.role.userAdmin

No

Lista separada por comas de grupos de proveedor de identidad cuyos miembros tienen asignado el rol de Global User Admin.

Global Read Only Groups

mms.oidc.global.role.readOnly

No

Lista separada por comas de grupos de proveedor de identidad cuyos nodos tienen asignado el rol Global Solo Lectura.

OIDC Claim for User First Name

mms.oidc.user.claims.firstName

No

Reclamación que contiene el primer nombre del usuario. Valor por defecto: given_name.

OIDC Claim for User Last Name

mms.oidc.user.claims.lastName

No

Reclamo que contiene el apellido del usuario. Valor por defecto: family_name.

OIDC Claim for User Email

mms.oidc.user.claims.email

No

Declaración que contiene la dirección de correo electrónico del usuario. Valor por defecto: email.

OIDC Claim for Group Member

mms.oidc.group.claims.member

No

Reclamo que contiene la lista de grupos que Ops Manager utiliza para asignar roles a proyectos y organizaciones. Valor por defecto: groups.

3

Asigna grupos OIDC a roles de organización y proyecto.

Asocie grupos OIDC con roles de organización y roles de proyecto en la interfaz de usuario de Ops Manager.

Nota

Si migras de SAML a OIDC, Ops Manager conserva tus mapeos existentes.

Cómo funcionan los mapeos de roles

Los mapeos de roles de OIDC funcionan de la misma manera que los mapeos de roles de SAML. Se puedes mapear los grupos proveedor de identidad a los roles de Ops Manager para las organizaciones y los proyectos. Cuando un usuario inicia sesión, Ops Manager asigna roles en función de la pertenencia del usuario a un grupo.

Mapeos de roles organizacionales

Las asignaciones de roles de la organización asocian los grupos proveedor de identidad con los roles de la organización.

Los campos de mapeo de la organización incluyen:

  • Grupos OIDC para el rol de propietario de la organización

  • Grupos OIDC para el rol de creador de proyecto de organización

  • Grupos OIDC para el rol de solo lectura de la organización

  • Grupos OIDC para el rol de miembro de la organización

Asignaciones de roles de proyecto

Las asignaciones de roles de proyecto asocian los grupos de proveedor de identidad con los roles del proyecto.

Los campos de mapeo del proyecto incluyen:

  • Grupos OIDC para el rol de propietario del proyecto

  • Grupos OIDC para el rol de solo lectura

  • Grupos OIDC para el rol de Administrador de automatización

  • Grupos OIDC para el rol de administrador de copia de seguridad

  • Grupos OIDC para el rol de administrador de supervisión

  • Grupos OIDC para el rol de administrador de usuarios

  • Grupos OIDC para el rol de administrador de acceso a datos

  • OIDC Groups para acceso a los datos Read guardar rol

  • Grupos OIDC para el rol de acceso a los datos de solo lectura

Gestionar asignaciones de roles con la API pública

Puedes gestionar los mapeos de roles de proveedor de identidad programáticamente usando el campo idpGroupMappings en las siguientes API públicas:

El idpGroupMappings campo es un arreglo que asigna los roles de Ops Manager a los grupos de proveedor de identidad.

{
  "idpGroupMappings": [
    {
      "idpGroups": [
        "name_of_your_idp_group",
        "another_name_of_idp_group"
      ],
      "roleName": "GROUP_USER_ADMIN"
    }
  ]
}

Los siguientes valores son válidos para la organización roleName:

  • ORG_OWNER

  • ORG_GROUP_CREATOR

  • ORG_BILLING_ADMIN

  • ORG_READ_ONLY

  • ORG_MEMBER

Los siguientes valores son válidos para el proyecto roleName:

  • GROUP_OWNER

  • GROUP_READ_ONLY

  • GROUP_AUTOMATION_ADMIN

  • GROUP_BACKUP_ADMIN

  • GROUP_MONITORING_ADMIN

  • GROUP_USER_ADMIN

  • GROUP_BILLING_ADMIN

  • GROUP_DATA_ACCESS_ADMIN

  • GROUP_DATA_ACCESS_READ_ONLY

  • GROUP_DATA_ACCESS_READ_WRITE

  • GROUP_CHARTS_ADMIN

  • GROUP_CLUSTER_MANAGER

  • GROUP_SEARCH_INDEX_EDITOR

Cierre de sesión en segundo plano

Ops Manager admite el cierre de sesión por canal secundario OIDC. Cuando tu proveedor de identidad envía un token de cierre de sesión, Ops Manager invalida la sesión del usuario.

Endpoint

  • POST {OPSMANAGER-HOST}:{PORT}/oidc/backchannel-logout

Solicitud

Envía una solicitud codificada en formulario con el parámetro logout_token que contenga un JWT firmado.

Requisitos

  • Incluye un sub válido (asunto) claim.

  • Puede incluir el sid (ID de sesión) claim para la invalidación dirigida de la sesión.

Ops Manager no admite el cierre de sesión iniciado por el proveedor de servicios. Para cerrar sesión, los usuarios deben cerrar sesión en el proveedor de identidad.

Volver

Configurar SAML

Next

Asegurar con autenticación

En esta página