Este guia mostra como configurar a autenticação federada utilizando o PingOne como seu IdP.
Após integrar o PingOne e o Atlas, você pode usar as credenciais da sua empresa para fazer login no Atlas e em outros serviços de cloud do MongoDB.
Acesso necessário
Para gerenciar a autenticação federada, você deve ter acesso de Organization Owner a uma ou mais organizações que delegam configurações de federação à instância.
Pré-requisitos
Para utilizar o PingOne como um IdP para Atlas, você deve ter:
Uma assinatura do PingOne. Para obter uma assinatura, visite PingOne.
Um usuário PingOne com privilégios administrativos. Para conceder privilégios administrativos a um usuário, consulte Gerenciando administradores. Como alternativa, você pode usar o usuário administrativo padrão criado após a ativação de sua conta PingOne.
Procedimentos
Configurar PingOne como provedor de identidade
Use o console de administração do PingOne para configurar o PingOne como IdP SAML.
Baixe seu certificado de origem PingOne.
Em sua conta PingOne, faça login no ambiente Administrator .
Na barra de navegação superior, clique em Setup.
Na barra de navegação secundária, clique em Certificates. Um PingOne Account Origination Certificate com uma data de expiração é exibido.
Clique na seta de expansão à direita da data de expiração e clique em Download.
Configure o aplicativo SAML.
Na barra de navegação superior, clique em Applications.
Na guia My Applications , clique no menu suspenso Add Application e selecione New SAML Application.
Insira um nome para identificar o aplicativo, como "MongoDB Atlas", no campo Application Name .
Insira uma descrição do aplicativo no campo Application Description .
Selecione uma categoria para o aplicação no menu suspenso Category .
Clique em Continue to Next Step.
In Atlas, acesse o console do Federation Management para sua organização.
Se ainda não estiver exibido, selecione sua organização desejada no Menu Organizations na barra de navegação.
Na barra lateral, clique em Federation sob o título Identity & Access.
Clique em Open Federation Management App.
A página Federação é exibida.
Informe as credenciais do PingOne para Atlas.
Clique em Identity Providers no painel esquerdo. Se você configurou um IdP anteriormente, clique em Add Identity Provider no canto superior direito da página e, em seguida, clique em Setup Identity Provider. Se você ainda não configurou um IdP, clique em Setup Identity Provider.
Na tela Configure Identity Provider, insira as seguintes informações:
CampoValorConfiguration Name
Etiqueta descritiva que identifica a configuração
Issuer URI
Fill with Placeholder Values
Single Sign-On URL
Fill with Placeholder Values
Identity Provider Signature Certificate
Certificado que você recebeu da PingOne em uma etapa anterior
Request Binding
HTTP POSTResponse Signature Algorithm
SHA-256Clique no botão Next para ver os valores da configuração do PingOne.
Na página de configuração do PingOne, clique em I have the SAML configuration na parte superior e insira os valores do Atlas FMC.
Campo | Valor |
|---|---|
Signing Certificate | Certificado que você recebeu da PingOne em uma etapa anterior |
Protocol Version |
|
Assertion Consumer Service | O URL Assertion Consumer Service do Atlas FMC |
Entity ID | O Audience URI do Atlas FMC |
Application URL | Deixe em branco |
Single Logout Endpoint | Deixe em branco |
Single Logout Response Endpoint | Deixe em branco |
Single Logout Binding Type | Deixe em branco |
Primary Verification Certificate | Não selecione um certificado. |
Encrypt Assertion | Desmarcado |
Signing |
|
Signing Algorithm |
|
Force Re-authentication | Desmarcado |
Na configuração do PingOne, clique em Continue to Next Step.
Adicione atributos do aplicativo.
Para cada atributo, clique em Add new attribute.
Forneça os seguintes valores para os atributos do aplicativo:
Application AttributeIdentity Bridge Attribute or Literal ValueAs LiteralSAML_SUBJECTEmailDesmarcado
firstNameFirst NameDesmarcado
lastNameLast NameDesmarcado
Para cada atributo, clique em Advanced.
Adicione seu Name ID Format.
Você pode ter os seguintes formatos:
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecifiedurn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
Clique em Continue to Next Step.
Adicione os grupos de usuários para os quais você deseja habilitar a autenticação federada e clique em Continue to Next Step.
Na página Review Setup , observe os valores Issuer e idpid para utilizar em uma etapa posterior.
No Atlas FMC, clique em Finish. Na tela Identity Providers , clique em Modify para o provedor PingOne que você criou anteriormente.
Substitua os valores de espaço reservado que você atribuiu anteriormente pelos seguintes valores:
Campo | Valor |
|---|---|
Issuer URI | Issuer valor que você anotou anteriormente. |
Single Sign-On URL | URL que se conecta ao Logon Único: |
Na página de configuração do PingOne, clique em Finish.
Mapeie seu domínio
O mapeamento de domínio ao IdP indica ao Atlas que usuários do seu domínio devem ser redirecionados para o Login URL para a configuração do seu provedor de identidade.
Quando os usuários visitam a página de login do Atlas, eles inserem seu endereço de e-mail. Se o domínio de e-mail estiver associado a um IdP, ele será enviado para o URL de login para esse IdP.
Importante
Quando você mapeia um único domínio para vários provedores de identidade, os usuários que se conectam usando o console do MongoDB nuvem são automaticamente redirecionados para o provedor de identidade associado ao primeiro aplicativo SAML provedor de identidade configurado para o Atlas.
Para usar um provedor de identidade alternativo, os usuários devem conectar por meio de um URL de conexão iniciado pelo SP ou pelo provedor de identidade.
Use o Federation Management Console para mapear seu domínio para o IdP:
In Atlas, acesse o console do Federation Management para sua organização.
Se ainda não estiver exibido, selecione sua organização desejada no Menu Organizations na barra de navegação.
Na barra lateral, clique em Federation sob o título Identity & Access.
Clique em Open Federation Management App.
A página Federação é exibida.
Insira informações de mapeamento de domínio.
Clique em Add a Domain.
Na tela Domains, clique em Add Domain.
Insira as seguintes informações para o mapeamento do seu domínio:
CampoDescriçãoNome de exibição
Etiqueta para identificar facilmente o domínio.
Nome de domínio
Nome de domínio para mapear.
Clique em Next.
Escolha seu método de verificação de domínio.
Observação
Você pode escolher o método de verificação uma vez. Não pode ser modificado. Para selecionar um método de verificação diferente, exclua e recrie o mapeamento de domínio.
Selecione a aba apropriada dependendo se você pretende verificar seu domínio com um arquivo HTML ou criando um registro TXT de DNS:
Carregue um arquivo HTML com uma chave de verificação para atestar que o domínio é seu.
Clique em HTML File Upload.
Clique em Next.
Baixe o arquivo
mongodb-site-verification.htmlque o Atlas disponibiliza.Carregue o arquivo HTML em um site do seu domínio. Você precisa acessar o arquivo em
<https://host.domain>/mongodb-site-verification.html.Clique em Finish.
Crie um registro DNS TXT com seu provedor de domínio para verificar se você é o proprietário do seu domínio. Cada registro DNS associa uma organização específica do Atlas a um domínio específico.
Clique em DNS Record.
Clique em Next.
Copie o registro TXT fornecido. O registro TXT tem o seguinte formato:
mongodb-site-verification=<32-character string> Faça login no seu provedor de nome de domínio (como GoDaddy.com ou networksolutions.com).
Adicione o registro txt que o Atlas fornece ao seu domínio.
Retorne ao Atlas e clique em Finish.
Verifique seu domínio.
A tela Domains exibe os domínios não verificados e verificados que você mapeou para o seu IdP. Para verificar seu domínio, clique no botão Verify do domínio de destino. O Atlas mostra se a verificação foi bem-sucedida ou não em um banner na parte superior da tela.
Associe seu domínio ao seu provedor de identidade
Depois de verificar o domínio, use o Federation Management Console para associar o domínio ao PingOne:
Clique em Identity Providers na navegação à esquerda.
Para o IdP que você deseja associar ao domínio, clique em Edit ao lado de Associated Domains.
Selecione o domínio que deseja associar ao IdP.
Clique em Confirm.
Teste o mapeamento do seu domínio
Importante
Antes de iniciar o teste, copie e salve o URL do modo Bypass SAML do seu IdP. Utilize esta URL para ignorar a autenticação federada no caso de você estar bloqueado da sua organização do Atlas.
Ao testar, mantenha sua sessão conectada ao Federation Management Console para garantir ainda mais contra bloqueios.
Para mais informações sobre Bypass SAML Mode, consulte Ignorar Modo SAML.
Use o Federation Management Console para testar a integração entre seu domínio e o PingOne:
Em uma janela privada do navegador, navegue até a página de acesso do Atlas.
Insira um nome de usuário (geralmente um endereço de e-mail) com seu domínio verificado.
Exemplo
Se o seu domínio verificado for mongodb.com, use um endereço de e-mail do formulário username@mongodb.com.
Clique em Next. Se você mapeou seu domínio corretamente, você será redirecionado ao seu IdP para se autenticar. Após a autenticação bem-sucedida, você será redirecionado de volta ao Atlas.
Observação
Você pode ignorar a página de login do Atlas navegando diretamente para seu IdP Login URL.
(Opcional) Mapear uma Organização
Utilize o Federation Management Console para atribuir aos usuários do seu domínio acesso a organizações específicas do Atlas:
In Atlas, acesse o console do Federation Management para sua organização.
Se ainda não estiver exibido, selecione sua organização desejada no Menu Organizations na barra de navegação.
Na barra lateral, clique em Federation sob o título Identity & Access.
Clique em Open Federation Management App.
A página Federação é exibida.
Conecte uma organização ao Aplicativo de Federação.
Clique em Link Organizations.
O Atlas exibe todas as organizações onde você é um
Organization Owner.As organizações que ainda não estão conectadas ao Aplicativo de Federação têm o botão Configure Access na coluna Actions.
Clique no botão Configure Access da organização desejada.
Aplique um Fornecedor de Identidade à organização.
Na tela Identity Provider, clique em Connect Identity Provider.
O Atlas leva você até a tela Identity Providers que mostra todos os IdPs que vinculou ao Atlas.
Para o IdP que você deseja aplicar na organização, clique em Connect.
No modal Apply Identity Provider to Organizations, selecione as organizações para as quais este IdP se aplica.
Clique em Confirm.
(Opcional) Configurar opções avançadas de autenticação federada
Você pode configurar as seguintes opções avançadas para autenticação federada para maior controle sobre seus usuários federados e fluxo de autenticação:
Observação
As seguintes opções avançadas para autenticação federada exigem que você mapeie uma organização.
Conecte-se no Atlas usando seu URL de acesso
Todos os usuários que você atribuir ao aplicativo PingOne podem se conectar ao Atlas usando suas credenciais do PingOne no Login URL. Os usuários têm acesso às organizações que você mapeou para seu IdP.
Importante
Quando você mapeia um único domínio para vários provedores de identidade, os usuários que se conectam usando o console do MongoDB nuvem são automaticamente redirecionados para o provedor de identidade associado ao primeiro aplicativo SAML provedor de identidade configurado para o Atlas.
Para usar um provedor de identidade alternativo, os usuários devem conectar por meio de um URL de conexão iniciado pelo SP ou pelo provedor de identidade.
Se você selecionar um papel de organização padrão, os novos usuários que se conectam ao Atlas usando o Login URL terão o papel que você especificou.