Docs Menu
Docs Home
/
Gestión
/
Gerente de Operaciones
Docs Home
/
Gestión
/
Gerente de Operaciones
Docs Home
/
Gestión
/
Gerente de Operaciones

Configurar el agente de MongoDB para la autenticación OIDC

Overview

Puede configurar el Agente de MongoDB, incluyendo Automatización, Monitoreo y Copia de seguridad, para autenticarse en implementaciones de MongoDB usando Federación de identidades de carga de trabajo OIDC. Con OIDC, el agente utiliza tokens de corta duración de un proveedor de identidad (IdP)en lugar de credenciales de base de datos de larga duración. El agente actualiza automáticamente estos tokens antes de que caduquen.

Este tutorial describe cómo:

  • Habilita la autenticación OIDC para tu implementación de MongoDB en Ops Manager.

  • Registre una configuración de IdP de OIDC.

  • Configure el agente de MongoDB para que utilice la conexión OIDC.

Considerations

Método de autenticación irreversible

Una vez configurado el agente de MongoDB para la federación de cargas de trabajo, no se puede volver a la autenticación local.

Actualización del token

El agente de MongoDB actualiza automáticamente los tokens OIDC antes de que caduquen. La duración de los tokens depende de la configuración de su IdP y suele oscilar entre 5 4 y 60 5 minutos.

Configuración de agente compartido

La configuración de OIDC se aplica a todas las funciones del agente: automatización, supervisión y copia de seguridad. No es necesario configurar cada función individualmente.

Requisitos previos

Antes de configurar el agente de MongoDB para la autenticación OIDC, habilite la federación de identidades de carga de trabajo OIDC para su implementación de MongoDB. Para obtener más información, consulte Configurar la federación de identidad de carga de trabajo con OAuth 2.0.

Procedimiento

Para configurar la autenticación OIDC para el agente de MongoDB:

1

Navegue hasta la configuración de seguridad.

En Ops Manager, vaya a su proyecto. En el menú de navegación izquierdo, haga clic en Deployment, haga clic en Security, luego seleccione la pestaña Settings.

Nota

Si no ha configurado la seguridad de su proyecto, aparecerá un banner que le pedirá que configure el cifrado de red, la autenticación y la autorización. Haga clic en Get Started para acceder a la configuración.

2

Habilitar la autenticación OIDC.

En la sección MongoDB Deployment Authentication Mechanism, seleccione Federated Auth (OIDC).

3

Agregue una configuración de proveedor de identidad OIDC.

  1. En la sección OIDC Connection and Authorization, haga clic en + OIDC IdP Configuration.

  2. En la ventana OIDC Protocol Settings, seleccione Workload Identity Federation.

  3. Introduzca los datos del IdP:

    Campo
    Descripción

    Configuration Name

    Prefijo que identifica esta configuración de IdP en Ops Manager.

    Issuer URI

    URI del IdP que emite tokens de acceso.

    Audience

    Debe coincidir con el aud afirma en el JWT que emite su IdP.

    Authorization Method

    Seleccione User ID Group Membershipo, según la configuración de su IdP.

    Customize User Claim

    Reclamación que identifica al usuario. Por defecto es sub.

  4. Haga clic en Save Configuration.

4

Configure la conexión del agente con la implementación.

  1. En la sección MongoDB Agent Connections to Deployment, seleccione Workload Federation.

    Importante

    Una vez que implemente con Workload Federation, no podrá volver a la autenticación local del agente de MongoDB.

  2. Introduzca los datos de autenticación del agente:

    Campo
    Descripción

    OIDC IdP Configuration

    Configuración delIdP que utiliza el agente de MongoDB para autenticarse. Seleccione la configuración que creó en el paso anterior.

    User Identifier

    Valor de reclamación principal del usuario. Ops Manager crea el usuario de MongoDB como [configuration name]/[user identifier].

    Authentication Method

    Método de autenticación para la conexión del agente con el proveedor de identidad (IdP). Seleccione Client Credentials para integraciones estándar con IdP, como Okta, o Built-in para identidades de carga de trabajo nativas de la nube en Azure o GCP.

    Client ID

    ID de cliente OAuth 2.0 asignado al agente. Obligatorio al usar Client Credentials.

    Client Secret

    Secreto de cliente OAuth 2.0 asignado al agente. Obligatorio cuando se utiliza Client Credentials.

    Tip

    Si su IdP utiliza una identidad de carga de trabajo nativa de la nube como Azure o GCP,Built-in seleccione. No necesita proporcionar un Client ID Client Secreto.

  3. Haga clic en Save Settings.

5

Revisar e implementar los cambios.

  1. En la ventana modal Review Your Changes, revise la diferencia de implementación. Confirme que la diferencia muestra Auth Mechanisms: MONGODB-OIDC y los detalles de la federación de carga de trabajo en Auth.

  2. Confirma el despliegue.

Una vez que Ops Manager aplica los cambios, el agente de MongoDB recibe automáticamente la configuración actualizada y obtiene sus tokens OIDC iniciales del IdP. El agente pasa a la autenticación OIDC sin necesidad de reiniciarse.

Rote las credenciales de los agentes sin tiempo de inactividad.

Para rotar el secreto de cliente OIDC del agente sin reiniciar el agente de MongoDB:

1

Genera un nuevo secreto de cliente en tu IdP.

En su proveedor de identidad (IdP), abra la aplicación OAuth/OIDC que utiliza para esta implementación y genere un nuevo secreto de cliente. Norevoque aún el secreto existente.

2

Actualiza el secreto en Ops Manager.

  1. En Ops Manager, ve a tu proyecto. Haz clic en Deployment, Security y luego selecciona la pestaña Settings.

  2. En MongoDB Agent Connections to Deployment, selecciona Workload Federation.

  3. Introduzca el nuevo secreto en Client Secret y, a continuación, haga clic en Save Settings.

  4. Revisar y confirmar la implementación.

3

Espere a que el agente de MongoDB actualice sus tokens, lo que suele ocurrir en el plazo de una hora.

4

Revoca el antiguo secreto en tu IdP.

Volver

Configurar TLS

Next

Gestionar archivos de configuración y contraseñas

En esta página