Página inicial do Docs → Iniciar e gerenciar o MongoDB → MongoDB Atlas
Configurar Autenticação de Usuário e Autorização com LDAP
Nesta página
- Acesso obrigatório
- Pré-requisitos
- Recomendação
- Considerações
- Conflitos entre Autorização LDAP e Usuários X.509
- Nomes de Usuário
- Connection string
- Reinicialização Contínua na Alteração da Configuração
- Usando Endereços IP Públicos
- Limitações
- Procedimentos
- Configurar Autenticação com LDAP
- Configurar Autorização
- Adicionar um Usuário ou Grupo do Banco de Dados LDAP
- Ver configuração LDAP
- Desativar a configuração LDAP
- Tutoriais para provedores externos de LDAP
Observação
Esta funcionalidade não está disponível para clusters gratuitos
M0
e clustersM2
eM5
. Para saber mais, consulte Atlas M0 (agrupamento gratuito), M2 e M5 Limites.No momento, esse recurso não é compatível com instâncias sem servidor. Para saber mais, consulte Limitações de instância sem servidor.
O Atlas fornece a capacidade de gerenciar a autenticação e autorização de usuário de todos os clientes MongoDB utilizando seu próprio servidor Lightweight Directory Access Protocol (LDAP) sobre TLS. Uma configuração única do LDAPS (LDAP sobre TLS) se aplica a todos os clusters em um projeto.
Se você habilitar a autorização de usuário com LDAP, você poderá criar grupos LDAP no banco de dados do admin
mapeando grupos LDAP para roles do MongoDB em seus bancos de dados do Atlas. Para utilizar os grupos LDAP de forma eficaz, crie projetos adicionais dentro do Atlas para controlar o acesso a implantações específicas na sua organização, como criar projetos Atlas separados para ambientes de desenvolvimento e produção. Você pode então mapear um grupo LDAP para um role no projeto Atlas para fornecer acesso à implantação desejada.
Observação
Quando você habilita a autorização do usuário e um usuário LDAP não pertence a nenhum grupo LDAP , o Atlas não atribui nenhuma função de banco de dados ao usuário. Quando você habilita a autenticação do usuário e desabilita a autorização do usuário, o Atlas atribui funções de banco de dados do MongoDB ao usuário LDAP .
Se você tiver vários departamentos com suas próprias necessidades de faturamento, configurações de alerta e membros do projeto, considere criar um novo conjunto de projetos ou uma nova organização para cada departamento ou unidade de negócios.
Observação
Acesso obrigatório
Para gerenciar usuários ou grupos LDAP, você deve ter acesso de Organization Owner
ou Project Owner
ao Atlas.
Pré-requisitos
Você deve atender aos seguintes pré-requisitos para gerenciar a autenticação e a autorização do usuário utilizando LDAP no Atlas:
Atlas cluster usando MongoDB 4.0 ou posterior.
Servidor LDAP usando TLS que seus Atlas clusters podem acessar pela rede usando a conexão de emparelhamento VPC ou VNet ou os endereços IP públicos dos nós do cluster.
Membros de grupos LDAP incorporados como um atributo para cada usuário na entrada LDAP apenas para autorização do usuário.
Recomendação
Para que seu serviço LDAPS acesse os Atlas clusters, o MongoDB recomenda uma das duas configurações:
Com usar uma VPC ou VNet:
Execute seu servidor LDAP em um VPC ou VNet.
Estabeleça uma conexão de emparelhamento para seu projeto Atlas.
Use um FQDN público que se resolve para o endereço IP privado do seu servidor LDAP.
Usando seu centro de dados:
Execute seu servidor LDAP com um FQDN público que resolva para um endereço IP público.
Configure o servidor LDAP para permitir acesso de entrada a partir dos endereços IP públicos dos nós do Atlas cluster.
Considerações
Conflitos entre Autorização LDAP e Usuários X.509
Se você habilitar a autorização LDAP, você não pode se conectar aos sistemas de banco de dados com usuários que se autenticam com um certificado X.509 gerenciado pelo Atlas.
Depois de habilitar a autorização LDAP, você pode se conectar aos sistemas de banco de dados com usuários que se autenticam com um certificado X.509 autogerenciado. No entanto, o Nome Comum do usuário em seu certificado X.509 deve corresponder ao Nome Distinto de um usuário autorizado a acessar seu banco de dados com LDAP.
Nomes de Usuário
O Atlas usa o Nome Distinto (DN) completo dos usuários em seu servidor LDAP como o nome de usuário do Atlas. Por exemplo, um exemplo de usuário LDAP denominado ralph
tem o seguinte nome de usuário no Atlas:
cn=ralph,cn=Users,dc=aws-atlas-ldap-01,dc=myteam,dc=com
Connection string
Se o administrador habilitar a autenticação do usuário, ou a autenticação junto com a autorização do usuário com LDAP, os utilizadores de banco de dados deverão substituir os seguintes parâmetros na connection string para seus clientes.
authSource
deve ser$external
authenticationMechanism
deve serPLAIN
Exemplo
A seguinte cadeia de conexão para mongosh
autentica um usuário LDAP chamado rob
:
mongosh "mongodb+srv://cluster0-tijis.mongodb.net/test?authSource=%24external" \ --authenticationMechanism PLAIN \ --username cn=rob,cn=Users,dc=ldaps-01,dc=myteam,dc=com
Para copiar a connection string:
Clique em Database no canto superior esquerdo do Atlas.
Clique em Connect na página Database Deployments.
Edite a string com seu
User DN
e senha.
Observação
Se suas senhas, nomes de bancos de dados ou cadeias de conexão contiverem caracteres reservados de URI, você deverá trocar os caracteres. Por exemplo, se a sua senha for @bc123
, você deverá trocar o caractere @
ao especificar a senha na cadeia de conexão, como %40bc123
. Para saber mais, consulte Caracteres especiais na senha da cadeia de conexão.
Reinicialização Contínua na Alteração da Configuração
Se você alterar sua configuração LDAP, o Atlas executará uma reinicialização contínua do seu cluster. Esta reinicialização permite ao Atlas utilizar as configurações corretas para autenticar usuários.
Usando Endereços IP Públicos
Você pode usar endereços IP públicos que se referem a outros endereços IP internos ou privados usando a Tradução de Endereços de Rede para permitir o tráfego do Atlas para seu servidor LDAP. Se você fizer isso, saiba que determinadas atividades acionam uma alteração nos endereços IP públicos do Atlas cluster.
Se você tiver permitido o acesso ao servidor LDAP com base em endereços IP públicos, as alterações no endereço IP público do Atlas cluster impedirão o acesso ao LDAP. Para restaurar o acesso LDAP, adicione os novos endereços IP públicos do Atlas Cluster à lista de acesso LDAP.
Limitações
Você não pode usar a autenticação LDAP e SCRAM para o mesmo utilizador de banco de dados.
Procedimentos
Configurar Autenticação com LDAP
Configurar Autorização
Adicionar um Usuário ou Grupo do Banco de Dados LDAP
Ver configuração LDAP
Desativar a configuração LDAP
Tutoriais para provedores externos de LDAP
Utilize os seguintes tutoriais para configurar o Atlas para autenticar e autorizar usuários de fornecedores LDAP de terceiros: