Menu Docs

Página inicial do DocsIniciar e gerenciar o MongoDBMongoDB Atlas

Opções avançadas para autenticação federada

Nesta página

  • Acesso obrigatório
  • Console de Gerenciamento de Federação
  • Atribuir uma função de usuário padrão para uma organização
  • Restringir acesso a uma organização por domínio
  • Ignorar modo SAML
  • Faça login após habilitar Bypass SAML Mode
  • Restringir a adesão de usuários à Federação

Você pode configurar opções avançadas em sua instância de autenticação federada para maior controle sobre seus usuários federados e fluxo de autenticação.

Acesso obrigatório

Para gerenciar a autenticação federada, você deve ter acesso Organization Owner a uma ou mais organizações que estão delegando configurações de federação à instância.

Console de Gerenciamento de Federação

Você pode gerenciar a autenticação federada a partir do Federation Management Console.

Para abrir o Federation Management Console:

  1. Conecte-se no Atlas.

  2. Utilize o menu suspenso no canto superior esquerdo do Atlas para selecionar a organização para a qual você deseja gerenciar as configurações de federação.

  3. Clique em Settings no painel de navegação esquerdo.

  4. Em Manage Federation Settings, clique em Visit Federation Management App.

Atribuir uma função de usuário padrão para uma organização

Você pode configurar o Atlas para provisionar automaticamente cada usuário que se autenticar por meio doIdP com uma função padrão em uma organização mapeada. Você pode selecionar funções diferentes para organizações diferentes.

Observação

A função selecionada só se aplica aos usuários que se autenticam por meio do IdP caso ainda não tenham uma função na organização.

1

Clique em Organizations no painel de navegação esquerdo.

2

Clique no Name da organização para a qual você deseja atribuir as permissões padrão.

3

No menu suspenso Default User Role , selecione a função desejada.

Para remover uma função de usuário padrão, clique em ao lado do menu suspenso.

Restringir acesso a uma organização por domínio

Você pode especificar uma lista de domínios aprovados para impedir que usuários fora desses domínios acessem a sua organização. Use esta lista para definir uma lista de domínios aprovados para sua organização sem precisar mapear diretamente esses domínios para seu IdP.

Importante

Considerações

Após habilitar a opção Restrict Access by Domain :

  • Você só pode convidar novos usuários para participar da sua organização cujos endereços de e-mail estejam na lista de domínios aprovados.

  • Os usuários que já estão na sua organização cujos nomes de usuário não contêm um domínio na lista aprovada não têm acesso restrito à sua organização.

  • Todos os domínios mapeados para o seu IdP são automaticamente adicionados à lista aprovada.

A partir do Federation Management Console:

1

Clique em Organizations no painel de navegação esquerdo.

2

Clique no Name da organização para a qual você deseja restringir o acesso.

3

No Advanced Settings, alterne Restrict Access by Domain para On.

Ao habilitar essa configuração, o Atlas adiciona automaticamente todos os domínios mapeados para um IdP à lista do Approved Domains.

4

Adicione domínios à lista aprovada.

Para adicionar domínios à lista aprovada, você pode:

  1. Clique Add Domains from Existing Members. O Atlas abre um modal contendo domínios de endereços de e-mail de usuários existentes na sua organização. Use esta lista para habilitar facilmente o acesso para usuários que já fazem parte da sua organização.

    Use as caixas de seleção para selecionar os domínios desejados e clique em Add para adicioná-los à lista aprovada.

  2. Clique Add Domains. O Atlas abre um modal onde é possível adicionar domínios manualmente à lista aprovada.

    Insira o domínio que você deseja aprovar na caixa de entrada e clique em Add. Repita este processo para cada domínio que você deseja aprovar.

Observação

Se você tiver associação de usuário restrito à sua federação, o Atlas avisa se você adicionar um domínio que está sendo usado para acessar organizações fora da sua federação.

Após adicionar todos os domínios desejados, clique em Submit.

Ignorar modo SAML

Bypass SAML Mode fornece um URL de login que ignora sua autenticação federada e, em vez disso, permite que você autentique com suas credenciais do Atlas.

If your Federated Authentication settings are not properly configured, you may not be able to log in to Atlas through your IdP. O URL do Bypass SAML Mode ajuda a impedir que você seja impedido de entrar na sua organização do Atlas. Ao configurar e testar seu IdP, recomendamos que anote o URL Bypass SAML Mode para garantir que pode se conectar ao Atlas e configurar corretamente as configurações de autenticação federada.

Cada URL Bypass SAML Mode está associada a um IdP individual e corresponde ao Login URL do IdP.

Bypass SAML Mode está habilitado por padrão, no entanto, você pode desativá-lo como medida de segurança quando tiver certeza de que configurou corretamente sua autenticação federada.

Para definir Bypass SAML Mode, a partir do Federation Management Console:

1

Clique em Identity Providers no painel de navegação esquerdo.

2

Localize o IdP para o qual você deseja visualizar/modificar a configuração do Bypass SAML Mode .

3

Defina Bypass SAML Mode conforme desejado.

4

Se você estiver desativando Bypass SAML Mode, clique em Disable na caixa de diálogo de confirmação.

Faça login após habilitar Bypass SAML Mode

Após habilitar o Bypass SAML Mode, você deve iniciar sessão no Atlas utilizando:

  • O URL do Bypass SAML Mode para seu IdP.

  • Um nome de usuário que:

    • Contém o domínio que você mapeou para o seu IdP.

    • Você usou para entrar no Atlas ou Cloud Manager antes de configurar a Autenticação Federada.

Restringir a adesão de usuários à Federação

Você pode impedir que os usuários em sua instância de autenticação federada criem novas organizações ou usem suas credenciais para acessar organizações fora da federação. Configure esta configuração para controle total de seus usuários federados e para ajudar a garantir que os usuários federados tenham acesso somente às organizações Atlas desejadas.

Importante

Esta configuração se aplica a toda a federação, incluindo todos os Fornecedores de Identidade e Organizações dentro da federação.

Considerações

Depois de habilitar essa configuração:

  • Nenhum usuário em sua instância de autenticação federada pode obter acesso a organizações fora da sua federação.

    • Da mesma forma, nenhum usuário federado pode aceitar ou receber convites para participar de organizações fora da sua federação.

  • Os usuários na sua federação com a função Organization Owner ainda podem criar novas organizações. Estas novas organizações são automaticamente conectadas à sua federação.

  • Os usuários em sua federação sem a função Organization Owner não podem criar novas organizações.

  • Os usuários em sua federação mantêm o acesso a quaisquer organizações às quais tinham acesso antes da restrição de associação.

Procedimento

A partir do Federation Management Console:

1

Clique em Advanced Settings no painel de navegação esquerdo.

2

Alterne Restrict Membership para On.

3

Visualizar conflitos de usuários

Se a sua federação contiver usuários que pertencem a organizações de fora da sua federação, o Atlas exibirá um cartaz de aviso. Para revisar os usuários conflitantes, clique em View User Conflicts.

O Atlas exibe um modal com uma lista de usuários que entram em conflito com a restrição da federação. Considere entrar em contato com esses usuários para alertá-los sobre a restrição.

← Configurar autenticação federada do PingOne
Gerencie suas opções de autenticação multifator →

Nesta página