Menu Docs

Página inicial do DocsIniciar e gerenciar o MongoDBMongoDB Atlas

Configurar Autenticação de Usuário e Autorização com LDAP

Nesta página

  • Acesso obrigatório
  • Pré-requisitos
  • Recomendação
  • Considerações
  • Conflitos entre Autorização LDAP e Usuários X.509
  • Nomes de Usuário
  • Connection string
  • Reinicialização Contínua na Alteração da Configuração
  • Usando Endereços IP Públicos
  • Limitações
  • Procedimentos
  • Configurar Autenticação com LDAP
  • Configurar Autorização
  • Adicionar um Usuário ou Grupo do Banco de Dados LDAP
  • Ver configuração LDAP
  • Desativar a configuração LDAP
  • Tutoriais para provedores externos de LDAP

Observação

  • Esta funcionalidade não está disponível para clusters gratuitos M0 e clusters M2 e M5. Para saber mais, consulte Atlas M0 (agrupamento gratuito), M2 e M5 Limites.

  • No momento, esse recurso não é compatível com instâncias sem servidor. Para saber mais, consulte Limitações de instância sem servidor.

O Atlas fornece a capacidade de gerenciar a autenticação e autorização de usuário de todos os clientes MongoDB utilizando seu próprio servidor Lightweight Directory Access Protocol (LDAP) sobre TLS. Uma configuração única do LDAPS (LDAP sobre TLS) se aplica a todos os clusters em um projeto.

Se você habilitar a autorização de usuário com LDAP, você poderá criar grupos LDAP no banco de dados do admin mapeando grupos LDAP para roles do MongoDB em seus bancos de dados do Atlas. Para utilizar os grupos LDAP de forma eficaz, crie projetos adicionais dentro do Atlas para controlar o acesso a implantações específicas na sua organização, como criar projetos Atlas separados para ambientes de desenvolvimento e produção. Você pode então mapear um grupo LDAP para um role no projeto Atlas para fornecer acesso à implantação desejada.

Observação

Quando você habilita a autorização do usuário e um usuário LDAP não pertence a nenhum grupo LDAP , o Atlas não atribui nenhuma função de banco de dados ao usuário. Quando você habilita a autenticação do usuário e desabilita a autorização do usuário, o Atlas atribui funções de banco de dados do MongoDB ao usuário LDAP .

Se você tiver vários departamentos com suas próprias necessidades de faturamento, configurações de alerta e membros do projeto, considere criar um novo conjunto de projetos ou uma nova organização para cada departamento ou unidade de negócios.

Observação

Uma explicação do LDAP está fora de escopo para a documentação MongoDB. Consulte RFC 4515 e RFC 4516 ou consulte a documentação LDAP de sua preferência.

Acesso obrigatório

Para gerenciar usuários ou grupos LDAP, você deve ter acesso de Organization Owner ou Project Owner ao Atlas.

Pré-requisitos

Você deve atender aos seguintes pré-requisitos para gerenciar a autenticação e a autorização do usuário utilizando LDAP no Atlas:

  • Atlas cluster usando MongoDB 4.0 ou posterior.

  • Servidor LDAP usando TLS que seus Atlas clusters podem acessar pela rede usando a conexão de emparelhamento VPC ou VNet ou os endereços IP públicos dos nós do cluster.

  • Membros de grupos LDAP incorporados como um atributo para cada usuário na entrada LDAP apenas para autorização do usuário.

Recomendação

Para que seu serviço LDAPS acesse os Atlas clusters, o MongoDB recomenda uma das duas configurações:

Com usar uma VPC ou VNet:

  1. Execute seu servidor LDAP em um VPC ou VNet.

  2. Estabeleça uma conexão de emparelhamento para seu projeto Atlas.

  3. Use um FQDN público que se resolve para o endereço IP privado do seu servidor LDAP.

Usando seu centro de dados:

  1. Execute seu servidor LDAP com um FQDN público que resolva para um endereço IP público.

  2. Configure o servidor LDAP para permitir acesso de entrada a partir dos endereços IP públicos dos nós do Atlas cluster.

Considerações

Conflitos entre Autorização LDAP e Usuários X.509

Se você habilitar a autorização LDAP, você não pode se conectar aos sistemas de banco de dados com usuários que se autenticam com um certificado X.509 gerenciado pelo Atlas.

Depois de habilitar a autorização LDAP, você pode se conectar aos sistemas de banco de dados com usuários que se autenticam com um certificado X.509 autogerenciado. No entanto, o Nome Comum do usuário em seu certificado X.509 deve corresponder ao Nome Distinto de um usuário autorizado a acessar seu banco de dados com LDAP.

Nomes de Usuário

O Atlas usa o Nome Distinto (DN) completo dos usuários em seu servidor LDAP como o nome de usuário do Atlas. Por exemplo, um exemplo de usuário LDAP denominado ralph tem o seguinte nome de usuário no Atlas:

cn=ralph,cn=Users,dc=aws-atlas-ldap-01,dc=myteam,dc=com

Connection string

Se o administrador habilitar a autenticação do usuário, ou a autenticação junto com a autorização do usuário com LDAP, os utilizadores de banco de dados deverão substituir os seguintes parâmetros na connection string para seus clientes.

  • authSource deve ser $external

  • authenticationMechanism deve ser PLAIN

Exemplo

A seguinte cadeia de conexão para mongosh autentica um usuário LDAP chamado rob:

mongosh "mongodb+srv://cluster0-tijis.mongodb.net/test?authSource=%24external" \
  --authenticationMechanism PLAIN \
  --username cn=rob,cn=Users,dc=ldaps-01,dc=myteam,dc=com

Para copiar a connection string:

  1. Clique em Database no canto superior esquerdo do Atlas.

  2. Clique em Connect na página Database Deployments.

  3. Edite a string com seu User DN e senha.

Observação

Se suas senhas, nomes de bancos de dados ou cadeias de conexão contiverem caracteres reservados de URI, você deverá trocar os caracteres. Por exemplo, se a sua senha for @bc123, você deverá trocar o caractere @ ao especificar a senha na cadeia de conexão, como %40bc123. Para saber mais, consulte Caracteres especiais na senha da cadeia de conexão.

Reinicialização Contínua na Alteração da Configuração

Se você alterar sua configuração LDAP, o Atlas executará uma reinicialização contínua do seu cluster. Esta reinicialização permite ao Atlas utilizar as configurações corretas para autenticar usuários.

Usando Endereços IP Públicos

Você pode usar endereços IP públicos que se referem a outros endereços IP internos ou privados usando a Tradução de Endereços de Rede para permitir o tráfego do Atlas para seu servidor LDAP. Se você fizer isso, saiba que determinadas atividades acionam uma alteração nos endereços IP públicos do Atlas cluster.

Se você tiver permitido o acesso ao servidor LDAP com base em endereços IP públicos, as alterações no endereço IP público do Atlas cluster impedirão o acesso ao LDAP. Para restaurar o acesso LDAP, adicione os novos endereços IP públicos do Atlas Cluster à lista de acesso LDAP.

Limitações

Você não pode usar a autenticação LDAP e SCRAM para o mesmo utilizador de banco de dados.

Procedimentos

Configurar Autenticação com LDAP

Configurar Autorização

Adicionar um Usuário ou Grupo do Banco de Dados LDAP

Ver configuração LDAP

Desativar a configuração LDAP

Tutoriais para provedores externos de LDAP

Utilize os seguintes tutoriais para configurar o Atlas para autenticar e autorizar usuários de fornecedores LDAP de terceiros:

← Configurar Autenticação Sem Senha com AWS IAM
Configurar autenticação e autorização de usuário com os serviços de domínio do Microsoft Entra ID →

Nesta página