O MongoDB Atlas aceita uma variedade de métodos de autenticação para garantir uma segurança robusta. O Atlas exige que todos os usuários autentiquem para acessar a UI do Atlas , os bancos de dados do Atlas e a API de administração do Atlas .
Observação
Neste contexto, um "usuário" pode ser um ser humano ou um aplicação. Nos referimos a usuários humanos como "Identidade da Força de Trabalho" e aplicativos como "Identidade do Volume de Trabalho".
Dois fatores determinam quais tipos de autenticação usar:
O tipo de identidade (ser humano ou máquina)
O recurso ao qual a identidade precisa de acesso. O recurso pode ser um dos seguintes: UI do Atlas , Banco de Dados do Atlas ou APIs do Atlas .
Autenticação UI do Atlas
Usuários da força de trabalho
Use restrições de acesso IP e, em seguida:
Use a autenticação federada com um 2.0 provedor de identidade SAML, como Okta, Microsoft Entra ID ou Ping Identity, e
Use as credenciais do Atlas com autenticação multifatorial (MFA). Você deve sempre usar a forma mais segura de MFA disponível, como uma chave de hardware ou biometria.
Usuários do volume de trabalho
Isso se aplica apenas aos usuários do Workforce.
Autenticação do banco de dados Atlas
Usuários da força de trabalho
Use o Workforce Identity Federation.
Para ambientes de desenvolvimento e teste, você também pode usar o SCRAM. Considere a possibilidade de criar usuários temporários de banco de dados com acesso imediato ao banco de dados.
Usuários do volume de trabalho
Use uma das seguintes opções:
Para ambientes de desenvolvimento e teste, você também pode usar certificados X.509ou SCRAM.
Autenticação do Atlas API
Observação
Isso se aplica tanto aos usuários do Workforce quanto do Workload.
Usar contas de serviço. Para ambientes de desenvolvimento e teste, você também pode usar Contas de serviço ou Chaves de API.
Tipos de autenticação
As seções a seguir fornecem detalhes sobre os métodos de autenticação usados ao acessar a UI do Atlas , o Banco de Dados do Atlas ou a API de Administração do Atlas .
Autenticação federada
A autenticação federada permite gerenciar toda a autenticação da UI do Atlas em vários sistemas e aplicativos por meio de um provedor de identidade, o que reduz a complexidade do gerenciamento de usuários. Com a autenticação federada, você pode impor políticas de segurança, como complexidade da senha, rotação de credenciais e MFA nas ferramentas do seu provedor de identidade.
Para a interface do usuário do Atlas , você pode usar qualquer provedor de identidade compatível com SAML, como Okta, Microsoft Entra ID ou Ping Identity.
Federação de Identidade da Força de Trabalho
O Workforce Identity Federation permite gerenciar toda a autenticação no banco de dados do Atlas por meio do seu provedor de identidade. Para saber mais, consulte Configurar a Federação de Identidade da Força de Trabalho com a OIDC.
Workload Identity Federation
O Workload Identity Federation permite que aplicativos em execução em ambientes de nuvem, como Azure e Google Cloud, autentiquem-se com o Atlas sem a necessidade de gerenciar credenciais de usuário de banco de dados separadas. Com o Workload Identity Federation, você pode gerenciar usuários do banco de dados Atlas usando Azure Managed Identities, Contas de Serviço do Google ou qualquer serviço compatível com OAuth 2.0. Esses mecanismos de autenticação simplificam o gerenciamento e aumentam a segurança ao permitir acesso sem senha ao banco de dados Atlas.
AWS Autenticação de função IAM
Você também pode autenticar por meio de funções da AWS IAM. Para saber mais, consulte Autenticação AWS IAM.
Para saber mais, consulte Configurar a Federação de Identidade do Volume de Trabalho com 2.0 OAuth e Configurar Autenticação Federada.
Autenticação multifator
Para qualquer usuário humano que tenha acesso ao plano de controle do Atlas , exigimos MFA para maior segurança. O Atlas suporta os seguintes métodos MFA como identificação secundária:
Chaves de segurança
Biometria
Autenticadores OTP
Notificações push com Okta Verify
Email
Observação
Se você estiver usando a autenticação federada, configure e gerencie a MFA no IdP. Se você estiver usando credenciais do Atlas , a MFA será configurada e gerenciada no Atlas. A MFA é necessária ao usar as credenciais do Atlas .
Para aprender mais, consulte Gerenciar suas opções de autenticação multifator.
Certificados de cliente X.509
Os certificados X.509 fornecem a segurança do TLS mútuo, tornando-os adequados para ambientes de preparação e produção, e você pode trazer sua própria autoridade de certificação para uso com o X.509. A desvantagem do X.509 é que você deve gerenciar os certificados e a segurança desses certificados no lado do aplicação , enquanto o Workload Identity Federation permite o acesso sem senha e facilita a segurança do aplicação .
Para saber mais, consulte X..509
Autenticação de senha SCRAM
Os Atlas clusters oferecem suporte à autenticação de senha SCRAM para autenticação de usuário, mas recomendamos o SCRAM apenas para uso em ambientes de desenvolvimento e teste.
Se você aproveitar509 a autenticação X. ou SCRAM, recomendamos que você use um gerenciador de segredos de terceiros como o HashiCorp Vault ou o AWS Secrets Manager para gerar e armazenar credenciais de banco de dados complexas.
Para saber mais,consulte SCRAM.
Contas de serviço
As contas de serviço utilizam o padrão do setor OAuth2.0 para autenticação segura no Atlas por meio da API de administração do Atlas. Recomendamos que você utilize contas de serviço em vez de chaves de API sempre que possível, pois elas oferecem maior segurança por meio de tokens de acesso de curta duração e rotações obrigatórias de credenciais.
Você pode gerenciar o acesso de programação para contas de serviço usando a UI do Atlas , Atlas CLI, Atlas Administration API e Terraform.
Chaves de API
As contas de serviço são o método preferido de autenticação. O Atlas oferece suporte legado para autenticação baseada em chave de API para gerenciar acesso programático. A autenticação baseada em chave deAPI usa a autenticação HTTP Digest para proteger as solicitações.
Para reforçar ainda mais a segurança e reduzir o risco de acesso não autorizado:
Siga as melhores práticas para girar as chaves de API regularmente. Para saber como girar essas chaves com o HashiCorp Vault, por exemplo, consulte a documentação do HashiCorp.
Utilize a lista de acesso IP para suas chaves de API. Para aprender mais, consulte Exigir uma lista de acesso IP para a API de administração do Atlas.
Para saber mais, consulte Autenticação da API de administração do Atlas.
Gerenciamento de segredos
Recomendamos usar um gerenciador de segredos de terceiros, como o HashiCorp Vault ou o Amazon Web Services Secrets Manager, para gerar e armazenar credenciais complexas de banco de dados. Um gerenciador de segredos pode gerar credenciais de banco de dados dinamicamente com base em funções configuradas para bancos de dados do Atlas .
Para aprender mais, veja o blog Gerenciar segredos do banco de dados MongoDB Atlas no HashiCorp Vault.
Implantações
Para saber mais sobre nossas recomendações para sistemas relacionados à autenticação,consulte as Orientações para organizações, projetos e clusters do Atlas .
Medidas de segurança adicionais
Para aumentar ainda mais a segurança e minimizar o risco de acesso não autorizado, considere estas medidas de segurança adicionais:
Gire os segredos da conta de serviço antes que eles expirem.
Use uma lista de acesso IP para suas contas de serviço.
Atribua o role de Atlas menos privilegiado necessário para que a finalidade da conta de serviço siga o princípio do privilégio mínimo.
Para aprender mais, consulte Visão geral das contas de serviço.