Página inicial do Docs → MongoDB Cloud Manager
Configurar autenticação federada do Okta
Nesta página
Este guia mostra como configurar a autenticação federada utilizando Okta como seu IdP.
Após integrar o Okta e o Cloud Manager, você pode usar as credenciais da sua empresa para conectar ao Cloud Manager e a outros serviços de cloud do MongoDB.
Observação
Se você estiver usando o aplicativo MongoDB Cloud integrado do Okta, poderá usar a documentação do Okta.
Se você estiver criando seu próprio aplicativo SAML, use os procedimentos descritos aqui.
Pré-requisitos
Para usar o Okta como um IdP para o Cloud Manager, você deve ter:
Uma conta Okta.
Um nome de domínio personalizado e roteável.
Procedimentos
Durante todo o procedimento a seguir, é útil ter uma guia do navegador aberta no Console de Gerenciamento da Federação e uma guia aberta na sua conta Okta.
Configurar Okta como provedor de identidade
Baixe seu certificado originação do Okta.
Na sua conta do Okta, clique em Admin no canto superior direito para acessar o ambiente de administrador.
No painel esquerdo, navegue até Applications -> Applications.
Clique em Create App Integration. Selecione SAML 2.0 para o Sign-in method e clique em Next.
Preencha o campo de texto App name com o nome do aplicativo desejado.
Opcionalmente, adicione uma imagem de registro do logo e configure a visibilidade do aplicativo. Clique em Next.
Na tela Configure SAML, insira as seguintes informações:
Campo | Valor |
|---|---|
Single sign-on URL | http://localhost |
Audience URI | urn:idp:default |
Importante
Esses são valores de espaço reservado e não se destinam ao uso em produção. Você os substituirá em uma etapa posterior.
Deixe os outros campos vazios ou defina para seus valores padrão e clique em Next na parte inferior da página.
Na tela Feedback, selecione I'm an Okta customer adding an internal app e clique em Finish.
Na parte inferior da página, sob o título SAML Signing Certificates, localize o certificado mais recente com Status de Active- esse é o certificado que você acabou de criar.
Clique em Actions e selecione Download certificate no menu suspenso. O certificado gerado é um arquivo .cert. Converta-o em um certificado .pem para uso posterior neste procedimento. Para fazer isso, abra um terminal de sua escolha e faça o seguinte:
openssl x509 -in path/to/mycert.crt -out path/to/mycert.pem -outform PEM
Abra o Federation Management Console.
Faça login no MongoDB Cloud Manager.
Use o menu suspenso no canto superior esquerdo do MongoDB Cloud Manager para selecionar a organização para a qual você deseja managed as configurações de federação.
Clique em Settings no painel de navegação esquerdo.
Em Federated Authentication Settings, clique em Open Federation Management App.
Forneça as credenciais do Okta para o MongoDB Cloud Manager.
Clique em Identity Providers no painel esquerdo. Se você configurou anteriormente um IdP, clique em Add Identity Provider no canto superior direito da página, então clique em Setup Identity Provider. Se você ainda não configurou um IdP, clique em Setup Identity Provider.
Na tela Configure Identity Provider, insira as seguintes informações:
Campo | Valor |
|---|---|
Configuration Name | Etiqueta descritiva que identifica a configuração |
Issuer URI | Fill with Placeholder Values |
Single Sign-On URL | Fill with Placeholder Values |
Identity Provider Signature Certificate | Certificado que você recebeu da Okta
em uma etapa anterior |
Request Binding | HTTP POST |
Response Signature Algorithm | SHA-256 |
Clique no botão Next para ver os valores da configuração do Okta.
Clique em Finish.
Configure sua integração SAML.
Na sua conta do Okta, retorne à página do seu aplicativo SAML e verifique se a aba General está selecionada.
No painel SAML Settings, clique em Edit.
Na página General Settings, clique em Next.
Na tela Configure SAML, insira as seguintes informações:
Campo de dados Okta | Valor | |||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Single sign on URL | Assertion Consumer Service URL do FMC do MongoDB Cloud Manager. Caixas de seleção:
| |||||||||||||||||||
Audience URI (SP Entity ID) | Audience URI do FMC do MongoDB Cloud Manager. | |||||||||||||||||||
Default RelayState | Opcionalmente, adicione uma URL RelayState ao seu IdP para enviar usuários para uma URL que você escolher e evitar redirecionamentos desnecessários após o login. Você pode usar:
| |||||||||||||||||||
Name ID format | Não especificado | |||||||||||||||||||
Application username | Email | |||||||||||||||||||
Update application username on | Criar e atualizar |
Clique no link Click Show Advanced Settings na página de configuração Okta e garanta que os seguintes valores estejam definidos:
Campo de dados Okta | Valor |
|---|---|
Response | Signed |
Assertion Signature | Signed |
Signature Algorithm | RSA-SHA256 |
Digest Algorithm | SHA256 |
Assertion Encryption | Unencrypted |
Deixe os Advanced Settings campos restantes em seu estado padrão.
Role para baixo até a seção Attribute Statements (optional) e crie quatro atributos com os seguintes valores:
Nome | Formato do nome | Valor |
|---|---|---|
Nome | Não especificado | user.firstName |
Sobrenome | Não especificado | user.lastName |
Importante
Os valores na coluna Nome diferenciam maiúsculas de minúsculas. Digite-os exatamente como mostrado.
Observação
Esses valores podem ser diferentes se o Okta estiver conectado a um Active Directory. Para ter os valores apropriados, use os campos do Active Directory que contêm o nome, sobrenome e endereço de e-mail completo do usuário.
(Opcional) Se você planeja utilizar o mapeamento de função, role para baixo até a seção Group Attribute Statements (optional) e crie um atributo com os seguintes valores:
Nome | Formato do nome | Filtro | Valor |
|---|---|---|---|
membro de | Não especificado | Correspondências regex | .* |
Este filtro corresponde a todos os nomes de grupo associados ao usuário. Para filtrar os nomes de grupo enviados para o MongoDB Cloud Manager, ajuste o campo Filter e Value .
Clique em Next na parte inferior da página.
Na tela Feedback, clique em Finish.
Substitua os valores do espaço reservado no FMC do MongoDB Cloud Manager.
Na página do aplicativo Okta, clique em View Setup Instructions no meio da página.
No FMC do MongoDB Cloud Manager, navegue até a página Identity Providers . Localize o Okta e clique em Edit.
Substitua os valores do espaço reservado nos seguintes campos:
Campo de dados FMC | Valor |
|---|---|
Issuer URI | Identity Provider Issuer da página
de instruções de configuração do Okta. |
Single Sign-on URL | Identity Provider Single Sign-On URL
da página
de instruções de configuração do Okta. |
Identity Provider Signature Certificate | Copie o X.509 Certificate da página Instruções de Configuração do Okta e cole o conteúdo diretamente. |
Clique em Next.
Clique em Finish.
Atribua usuários ao seu aplicativo Okta.
Na página do aplicativo Okta, clique na guia Assignments.
Certifique-se de que todos os usuários da organização do MongoDB Cloud Manager que usarão o Okta estejam registrados.
Mapeie seu domínio
O mapeamento do seu domínio para o IdP permite que o Cloud Manager saiba que os usuários do seu domínio devem ser direcionados para o Login URL para a configuração do seu provedor de identidade.
Quando os usuários visitam a página de login do Cloud Manager, eles inserem seu endereço de e-mail. Se o domínio de e-mail estiver associado a um IdP, ele será enviado para o URL de login para esse IdP.
Importante
Você pode mapear um único domínio para vários provedores de identidade. Se você fizer isso, os usuários que fizerem login usando o console do MongoDB Cloud serão automaticamente redirecionados para o primeiro IdP correspondente mapeado para o domínio.
Para fazer login usando um provedor de identidade alternativo, os usuários devem:
Inicie o login do MongoDB Cloud por meio do IdP desejado ou
Faça login utilizando o Login URL associado ao IdP desejado.
Utilize o Federation Management Console para mapear seu domínio para o IdP:
Abra o Federation Management Console.
Faça login no Cloud Manager.
Use o menu suspenso no canto superior esquerdo do Cloud Manager para selecionar a organização para a qual você deseja managed as configurações de federação.
Clique em Settings no painel de navegação esquerdo.
Em Manage Federation Settings, clique em Visit Federation Management App.
Insira informações de mapeamento de domínio.
Clique em Add a Domain.
Na tela Domains, clique em Add Domain.
Insira as seguintes informações para o mapeamento do seu domínio:
CampoDescriçãoNome de exibiçãoNome para identificar facilmente o domínio.Nome de domínioNome de domínio para mapear.Clique em Next.
Escolha como verificar seu domínio.
Observação
Você pode escolher o método de verificação uma vez. Não pode ser modificado. Para selecionar um método de verificação diferente, exclua e recrie o mapeamento de domínio.
Selecione a guia apropriada com base no fato de estar verificando seu domínio fazendo upload de um arquivo HTML ou criando um registro DNS TXT:
Verifique seu domínio.
A tela Domains exibe os domínios não verificados e verificados que você mapeou para o seu IdP. Para verificar seu domínio, clique no botão Verify do domínio de destino. Cloud Manager mostra se a verificação foi bem-sucedida ou não em um banner na parte superior da tela.
Associe seu domínio ao seu provedor de identidade
Depois de verificar o domínio, use o Federation Management Console para associar o domínio ao Okta:
Clique em Identity Providers na navegação à esquerda.
Para o IdP que você deseja associar ao seu domínio, clique em ao lado de Associated Domains.
Selecione o domínio que deseja associar ao IdP.
Clique em Confirm.
Teste o mapeamento do seu domínio
Importante
Antes de iniciar o teste, copie e salve o URL do modo Bypass SAML para seu IdP. Use esse URL para ignorar a autenticação federada no caso de você ser bloqueado da sua organização do Cloud Manager.
Ao testar, mantenha sua sessão conectada ao Federation Management Console para garantir ainda mais contra bloqueios.
Para mais informações sobre Bypass SAML Mode, consulte Ignorar Modo SAML.
Use o Federation Management Console para testar a integração entre seu domínio e o Okta:
Em uma janela privada do navegador, navegue até a página de login do Cloud Manager.
Insira um nome de usuário (geralmente um endereço de e-mail) com seu domínio verificado.
Exemplo
Se o seu domínio verificado for mongodb.com, insira alice@mongodb.com.
Clique em Next.
Se você mapeou seu domínio corretamente, você será redirecionado para o seu IdP para autenticação. Se a autenticação com seu IdP for bem-sucedida, você será redirecionado de volta para o Cloud Manager.
Observação
Você pode ignorar a página de conexão do Cloud Manager navegando diretamente para o Login URL do seu IdP. O Login URL levará você diretamente ao seu IdP para autenticação.
(Opcional) Mapear uma Organização
Use o Federation Management Console para atribuir aos usuários do seu domínio acesso a organizações específicas do Cloud Manager:
Abra o Federation Management Console.
Faça login no Cloud Manager.
Use o menu suspenso no canto superior esquerdo do Cloud Manager para selecionar a organização para a qual você deseja managed as configurações de federação.
Clique em Settings no painel de navegação esquerdo.
Em Manage Federation Settings, clique em Visit Federation Management App.
Conecte uma organização ao Aplicativo de Federação.
Clique em View Organizations.
O Cloud Manager exibe todas as organizações onde você é um
Organization Owner.As organizações que ainda não estão conectadas ao Aplicativo de Federação têm o botão Connect na coluna Actions.
Clique no botão Connect da organização desejada.
Aplique um Fornecedor de Identidade à organização.
Na tela Organizations do console de gerenciamento:
Clique no Name da organização que você deseja mapear para um IdP.
Na tela Identity Provider, clique em Apply Identity Provider.
O Cloud Manager direciona você para a tela Identity Providers , que mostra todos os IdPs que você vinculou ao Cloud Manager.
Para o IdP que você deseja aplicar na organização, clique em Modify.
Na parte inferior do formulário Edit Identity Provider , selecione as organizações para as quais este IdP se aplica.
Clique em Next.
Clique em Finish.
Conecte uma organização ao Aplicativo de Federação.
Clique em Organizations na navegação à esquerda.
Na lista de Organizations, certifique-se de que a(s) organização(ões) desejada(s) agora tenha(m) o Identity Provider esperado.
(Opcional) Configurar opções avançadas de autenticação federada
Você pode configurar as seguintes opções avançadas para autenticação federada para maior controle sobre seus usuários federados e fluxo de autenticação:
Observação
As seguintes opções avançadas para autenticação federada exigem que você mapeie uma organização.
Faça login no Cloud Manager usando sua URL de login
Todos os usuários que você atribuiu ao aplicativo do Okta podem se conectar ao Cloud Manager usando suas credenciais do Okta no Login URL. Os usuários têm acesso às organizações que você mapeou para seu IdP.
Importante
Você pode mapear um único domínio para vários provedores de identidade. Se você fizer isso, os usuários que fizerem login usando o console do MongoDB Cloud serão automaticamente redirecionados para o primeiro IdP correspondente mapeado para o domínio.
Para fazer login usando um provedor de identidade alternativo, os usuários devem:
Inicie o login do MongoDB Cloud por meio do IdP desejado ou
Faça login utilizando o Login URL associado ao IdP desejado.
Se você selecionou um role de organização padrão, os novos usuários que se conectam ao Cloud Manager usando o Login URL terão o role que você especificou.