Configurar MongoDB Agent para autenticación por OIDC

Navegue a la configuración de seguridad.

En Ops Manager, Go a tu proyecto. En la navegación izquierda, haz clic en Deployment, haz clic en Security y luego selecciona la pestaña Settings.

Enable OIDC autenticación.

En la sección MongoDB Deployment Authentication Mechanism, seleccione Federated Auth (OIDC).

Agregue una configuración de proveedor de identidad OIDC.

1. En la sección OIDC Connection and Authorization, haga clic en + OIDC IdP Configuration.

2. En la ventana OIDC Protocol Settings, seleccione Workload Identity Federation.

3. Introduce los detalles del proveedor de identidad:

   Campo	Descripción
   Configuration Name	Prefijo que identifica esta configuración de proveedor de identidad en el Ops Manager.
   Issuer URI	URI del proveedor de identidad que emite tokens de acceso.
   Audience	Debe coincidir con la aud reclamación en el JWT que emite su proveedor de identidad.
   Authorization Method	Seleccione User ID o Group Membership, según su configuración de proveedor de identidad.
   Customize User Claim	Reclamación que identifica al usuario. Por defecto, es sub.

4. Haga clic en Save Configuration.

Configura la conexión del agente a la implementación.

1. En la sección MongoDB Agent Connections to Deployment, seleccione Workload Federation.

   Importante

   Después de implementar con Workload Federation, no puedes revertir el MongoDB Agent a la autenticación local.

2. Introduzca los detalles de autenticación del agente:

   Campo	Descripción
   OIDC IdP Configuration	Configuración de IdP que utiliza el MongoDB Agent para autenticarse. Selecciona la configuración que creaste en el paso anterior.
   User Identifier	Valor de la reclamación principal del usuario. Ops Manager crea el usuario de MongoDB como [configuration name]/[user identifier].
   Authentication Method	Método de autenticación para la conexión proveedor de identidad del agente. Selecciona Client Credentials para integraciones estándar de proveedor de identidad, como Okta, o Built-in para identidades en la carga de trabajo nativas en la nube en Azure o GCP.
   Client ID	ID de cliente OAuth 2.0 asignado al agente. Requerido cuando se use Client Credentials.
   Client Secret	Secreto de cliente OAuth 2.0 asignado al agente. Requerido cuando se use Client Credentials.

   Tip

   Si tu proveedor de identidad utiliza una identidad de carga de trabajo nativa en la nube como Azure o GCP, selecciona Built-in. No es necesario proporcionar un Client ID o Client Secret.

3. Haga clic en Save Settings.

Revise e implemente los cambios.

1. En el modal Review Your Changes, revisa la diferencia de implementación. Confirma que la diferencia muestre Auth Mechanisms: MONGODB-OIDC y los detalles de la Federación de cargas de trabajo bajo Auth.

2. Confirma la implementación.

Después de que el Ops Manager aplique los cambios, el MongoDB Agent recibe automáticamente la configuración actualizada y obtiene sus primeros tokens OIDC del IdP. El agente pasa a la autenticación OIDC sin necesidad de reiniciar.

Genera un nuevo secreto de cliente en tu proveedor de identidad.

En tu IdP, abre la aplicación OAuth/OIDC que usas para esta implementación y genera un nuevo secreto de cliente. No revoques la clave existente todavía.

Actualice el secreto en Ops Manager.

1. En Ops Manager, Go a su proyecto. Haz clic en Deployment, Security, luego selecciona la pestaña Settings.

2. En MongoDB Agent Connections to Deployment, selecciona Workload Federation.

3. Ingrese el nuevo secreto en Client Secret, luego haga clic en Save Settings.

4. Revise y confirme la implementación.

Espere a que el MongoDB Agent actualice sus tokens, normalmente en el plazo de una hora.

Revoca la clave secreta antigua en tu proveedor de identidad.