Docs Menu
Docs Home
/ /
OIDC/OAuth 2.0
Docs Home
/ /
Autenticación
/
OIDC/OAuth 2.0
Docs Home
/
Gestión
/
Seguridad
/
Usuarios
/
Autenticación
/
OIDC/OAuth 2.0

Federación de identidades de carga de trabajo con OAuth 2.0

Workload Identity Federation usa OAuth 2.0 para permitir que sus aplicaciones accedan a MongoDB mediante identidades programáticas externas, como entidades de servicio de Azure, identidades administradas de Azure y cuentas de servicio de Google.

Importante

OpenID Connect (OIDC) solo es compatible con Linux.

Casos de uso

Con Workload Identity Federation, puede:

  • Administre el acceso de su aplicación a las implementaciones de MongoDB a través de su proveedor de nube o proveedor de identidad (IdP) existente.

  • Aplicar políticas de seguridad como control de acceso basado en roles, rotación de credenciales y permisos específicos para la carga de trabajo.

  • Otorgue acceso a aplicaciones, contenedores o máquinas virtuales específicos sin administrar cuentas de servicio individuales.

Comportamiento

  • Para utilizar Workload Identity Federation, debe utilizar MongoDB Enterprise y tener MongoDB 7.0.11 o posterior.

    Para verificar que está utilizando MongoDB Enterprise, pase la --version opción de línea de comandos para el mongod o:mongos

    mongod --version

    En la salida de este comando, busque la cadena modules: subscription o modules: enterprise para confirmar que está utilizando los binarios de MongoDB Enterprise.

  • La Federación de Identidades de Carga de Trabajo permite que sus aplicaciones accedan a clústeres de MongoDB con tokens de acceso OAuth 2.0. Estos tokens de acceso pueden ser emitidos por cualquier proveedor de identidad externo, como Azure Entra ID y Google Cloud Platform.

  • MongoDB almacena identificadores y privilegios de usuarios, pero no secretos.

Empezar

Para configurar y utilizar la federación de identidad de carga de trabajo, realice las siguientes tareas:

  1. Configurar la federación de identidades de carga de trabajo

    Registre su aplicación OAuth 2.0 con un IdP que admita el estándar OAuth 2.0, como entidades de servicio de Azure, identidades administradas de Azure y cuentas de servicio de Google.

  2. Configurar MongoDB con Workload Identity Federation

    Configure su servidor MongoDB para utilizar la federación de identidad de carga de trabajo con OAuth 2.0.

  3. Autorizar usuarios con federación de identidades de carga de trabajo

    Especifique privilegios para los principales de identidad de carga de trabajo agregando roles a MongoDB (para OAuth, autorización externa o ambos) o agregando usuarios de base de datos a MongoDB (para autorización administrada por base de datos).

Detalles

Los drivers MongoDB admiten dos tipos de flujo de autenticación para Workload Identity Federation: autenticación incorporada y autenticación de función de retorno.

Autenticación incorporada

Puede usar la autenticación integrada si implementa su aplicación en una infraestructura compatible con un tipo de principal compatible. Su aplicación puede acceder a los clústeres de MongoDB sin proporcionar una contraseña ni solicitar manualmente un token web JSON (JWT) al servicio de metadatos de su proveedor de nube. En su lugar, el controlador de MongoDB elegido utiliza su identificador de principal existente para solicitar un token de acceso JWT de forma interna, que se envía automáticamente al clúster de Atlas cuando su aplicación se conecta.

Para obtener más detalles de implementación, consulte su elección Documentación del conductor.

Infraestructura y tipos principales compatibles con la autenticación incorporada

Proveedor de nube
Tipo de infraestructura
Tipo principal

Proveedor de Google Cloud (GCP)

Motor de cómputo

Cuentas de servicio de GCP

Entorno estándar del motor de la aplicación

Entorno flexible del motor de la aplicación

Funciones en la nube

Google Run

Google Kubernetes Engine

Cloud Build

Azure

Azure VM

Identidades gestionadas de Azure (asignadas al usuario y al sistema)

Autenticación de función de retorno

Puede usar la autenticación por devolución de llamada con cualquier servicio compatible con tokens de acceso OAuth 2.0. Workload Identity Federation llama a un método de devolución de llamada, en el que puede solicitar el JWT necesario a su servidor de autorización o proveedor de nube, que debe pasar cuando su aplicación se conecta a MongoDB con Workload Identity Federation.

Revise la documentación del controlador elegido para obtener más detalles de implementación.

Volver

Autorizar usuarios con Workforce Identity Federation

Next

Configurar un proveedor de identidad externo para la autenticación de la carga de trabajo

En esta página