Configurar MongoDB Agent para autenticación por OIDC

Overview

Puedes configurar MongoDB Agent, incluyendo automatización, supervisión y copia de seguridad, para autenticarse en implementaciones de MongoDB utilizando OIDC Federación de Identidad de Carga de Trabajo. Con OIDC, el agente utiliza tokens de corta duración de un proveedor de identidad (IdP) en lugar de credenciales de base de datos de larga duración. El agente actualiza automáticamente estos tokens antes de que caduquen.

Este tutorial describe cómo:

Habilite la autenticación OIDC para su implementación de MongoDB en Ops Manager.
Registrar una configuración OIDC proveedor de identidad.
Configura el MongoDB Agent para que utilice la conexión OIDC.

Considerations

Método de autenticación irreversible

Después de configurar el MongoDB Agent para la Federación de cargas de trabajo, no se puede volver a la Autenticación local.

Actualización de token

El MongoDB Agent actualiza automáticamente los tokens OIDC antes de que caduquen. La vigencia de los tokens depende de la configuración del proveedor de identidad, y suele ser de entre 5 y 60 minutos.

Configuración compartida del agente

La configuración de OIDC se aplica a todas las funciones del agente: Automatización, supervisión y Copia de seguridad. No configura cada función individualmente.

Requisitos previos

Antes de configurar el MongoDB Agent para la autenticación OIDC, habilite la federación de identidad de carga de trabajo OIDC para su implementación de MongoDB. Para obtener más información, consulta Configure la federación de identidad de carga de trabajo usando OAuth 2.0.

Procedimiento

Para configurar la autenticación OIDC para el MongoDB Agent:

Navegue a la configuración de seguridad.

En Ops Manager, Go a tu proyecto. En la navegación izquierda, haz clic en Deployment, haz clic en Security y luego selecciona la pestaña Settings.

Nota

Si no has configurado la seguridad para tu proyecto, aparece un banner que te invita a configurar el cifrado de red, la autenticación y la autorización. Haz clic en Get Started para acceder a la configuración.

Enable OIDC autenticación.

En la sección MongoDB Deployment Authentication Mechanism, seleccione Federated Auth (OIDC).

Agregue una configuración de proveedor de identidad OIDC.

En la sección OIDC Connection and Authorization, haga clic en + OIDC IdP Configuration.
En la ventana OIDC Protocol Settings, seleccione Workload Identity Federation.

Introduce los detalles del proveedor de identidad:

Campo	Descripción
Configuration Name	Prefijo que identifica esta configuración de proveedor de identidad en el Ops Manager.
Issuer URI	URI del proveedor de identidad que emite tokens de acceso.
Audience	Debe coincidir con la `aud` reclamación en el JWT que emite su proveedor de identidad.
Authorization Method	Seleccione User ID o Group Membership, según su configuración de proveedor de identidad.
Customize User Claim	Reclamación que identifica al usuario. Por defecto, es `sub`.

Haga clic en Save Configuration.

Configura la conexión del agente a la implementación.

En la sección MongoDB Agent Connections to Deployment, seleccione Workload Federation.
Importante
Después de implementar con Workload Federation, no puedes revertir el MongoDB Agent a la autenticación local.

Introduzca los detalles de autenticación del agente:

Campo	Descripción
OIDC IdP Configuration	Configuración de IdP que utiliza el MongoDB Agent para autenticarse. Selecciona la configuración que creaste en el paso anterior.
User Identifier	Valor de la reclamación principal del usuario. Ops Manager crea el usuario de MongoDB como `[configuration name]/[user identifier]`.
Authentication Method	Método de autenticación para la conexión proveedor de identidad del agente. Selecciona Client Credentials para integraciones estándar de proveedor de identidad, como Okta, o Built-in para identidades en la carga de trabajo nativas en la nube en Azure o GCP.
Client ID	ID de cliente OAuth 2.0 asignado al agente. Requerido cuando se use Client Credentials.
Client Secret	Secreto de cliente OAuth 2.0 asignado al agente. Requerido cuando se use Client Credentials.

Tip

Si tu proveedor de identidad utiliza una identidad de carga de trabajo nativa en la nube como Azure o GCP, selecciona Built-in. No es necesario proporcionar un Client ID o Client Secret.

Haga clic en Save Settings.

Revise e implemente los cambios.

En el modal Review Your Changes, revisa la diferencia de implementación. Confirma que la diferencia muestre Auth Mechanisms: MONGODB-OIDC y los detalles de la Federación de cargas de trabajo bajo Auth.
Confirma la implementación.

Después de que el Ops Manager aplique los cambios, el MongoDB Agent recibe automáticamente la configuración actualizada y obtiene sus primeros tokens OIDC del IdP. El agente pasa a la autenticación OIDC sin necesidad de reiniciar.

Rotar las credenciales de agente sin tiempo de inactividad

Para rotar el secreto de cliente OIDC del agente sin reiniciar el MongoDB Agent:

Genera un nuevo secreto de cliente en tu proveedor de identidad.

En tu IdP, abre la aplicación OAuth/OIDC que usas para esta implementación y genera un nuevo secreto de cliente. No revoques la clave existente todavía.

Actualice el secreto en Ops Manager.

En Ops Manager, Go a su proyecto. Haz clic en Deployment, Security, luego selecciona la pestaña Settings.
En MongoDB Agent Connections to Deployment, selecciona Workload Federation.
Ingrese el nuevo secreto en Client Secret, luego haga clic en Save Settings.
Revise y confirme la implementación.

Espere a que el MongoDB Agent actualice sus tokens, normalmente en el plazo de una hora.

Revoca la clave secreta antigua en tu proveedor de identidad.

Volver

Configurar TLS

Gestionar archivos de configuración y contraseñas