Menu Docs
Página inicial do Docs
/
Gestão
/
Ops Manager
Página inicial do Docs
/
Gestão
/
Ops Manager
Página inicial do Docs
/
Gestão
/
Ops Manager

Configurar o MongoDB Agent para Autenticação OIDC

Visão geral

Você pode configurar o MongoDB Agent, incluindo Automation, Monitoring e Backup, para autenticar em sistemas MongoDB usando o OIDC Workload Identity Federation. Com o OIDC, o agente usa tokens de curta duração de um Provedor deIdentidade ( IdP ) em vez de credenciais de banco de dados de longa duração. O agente atualiza automaticamente esses tokens antes que eles expirem.

Este tutorial descreve como:

  • Ative a autenticação OIDC para sua implantação do MongoDB no Ops Manager.

  • Registre uma configuração do OIDC IdP.

  • Configure o MongoDB Agent para usar a conexão OIDC.

Considerações

Método de autenticação irreversível

Depois de configurar o MongoDB Agent para Workload Federation, você não poderá reverter para Autenticação Local.

Atualização de token

O MongoDB Agent atualiza automaticamente os tokens OIDC antes que eles expirem. A duração do token depende da configuração do IdP e, normalmente, varia de 5 a 60 minutos.

Configuração compartilhada do agente

A configuração do OIDC se aplica a todas as funções do agente : automação, monitoramento e backup. Você não configura cada função individualmente.

Pré-requisitos

Antes de configurar o MongoDB Agent para autenticação OIDC, habilite a OIDC Workload Identity Federation para sua MongoDB deployment. Para saber mais, consulte Configurar a Federação de Identidade do Volume de Trabalho com OAuth.2.0

Procedimento

Para configurar a autenticação OIDC para o MongoDB Agent:

1

Navegue até as configurações de Segurança.

No Ops Manager, acesse seu projeto. Na navegação à esquerda, clique em Deployment, clique em Security e selecione a aba Settings.

Observação

Se você não tiver configurado a segurança para seu projeto, um banner solicitará que você configure a criptografia, a autenticação e a autorização de rede. Clique em Get Started para acessar as configurações.

2

Ative a autenticação OIDC.

Na seção MongoDB Deployment Authentication Mechanism, selecione Federated Auth (OIDC).

3

Adicione uma configuração do provedor de identidade OIDC.

  1. Na seção OIDC Connection and Authorization, clique em + OIDC IdP Configuration.

  2. Na janela OIDC Protocol Settings, selecione Workload Identity Federation.

  3. Insira os detalhes do IdP:

    Campo
    Descrição

    Configuration Name

    Prefixo que identifica esta configuração de IdP no Ops Manager.

    Issuer URI

    URI do IdP que emite tokens de acesso.

    Audience

    Deve corresponder à aud reivindicação no JWT que seu IdP emite.

    Authorization Method

    Selecione User ID Group Membershipou, com base na configuração do seu IdP.

    Customize User Claim

    Reivindicação que identifica o usuário. Padrão é sub.

  4. Clique em Save Configuration.

4

Configure a conexão do agente com o sistema.

  1. Na seção MongoDB Agent Connections to Deployment, selecione Workload Federation.

    Importante

    Depois de implantar com a Federação de volume de trabalho, você não poderá reverter o MongoDB Agent para autenticação local.

  2. Insira os detalhes de autenticação do agente :

    Campo
    Descrição

    OIDC IdP Configuration

    Configuração doIdP que o MongoDB Agent usa para autenticar. Selecione a configuração que você criou na etapa anterior.

    User Identifier

    Valor da reivindicação principal do usuário. O Ops Manager cria o usuário MongoDB como [configuration name]/[user identifier].

    Authentication Method

    Método de autenticação para a conexão IdP do agente. Selecione Client Credentials para integrações de IdP padrão, como Okta, ou Built-in para identidades de carga de trabalho nativas da nuvem no Azure ou no GCP.

    Client ID

    ID do cliente OAuth 2.0 atribuído ao agente. Obrigatório ao usar Client Credentials.

    Client Secret

    OAuth 2.0 segredo do cliente atribuído ao agente. Obrigatório ao usar Client Credentials.

    Dica

    Se o seu IdP utilizar uma identidade de volume de trabalho nativa da nuvem, como Azure ou GCP,Built-in selecione. Você não precisa fornecer um Client ID Client Secretou.

  3. Clique em Save Settings.

5

Revise e implemente as alterações.

  1. No modal Review Your Changes, revise o desvio de sistema. Confirme que o diff mostra Auth Mechanisms: MONGODB-OIDC e os detalhes da Federação de volume de trabalho em Auth.

  2. Confirme a implantação.

Depois que o Ops Manager aplicar as alterações, o MongoDB Agent recebe automaticamente a configuração atualizada e obtém seus tokens OIDC iniciais do IdP. O agente faz a transição para a autenticação OIDC sem reiniciar.

Gire as credenciais do agente sem tempo de inatividade

Para girar o segredo do cliente OIDC do agente sem reiniciar o MongoDB Agent:

1

Gere um novo segredo do cliente no seu IdP.

Em seu IdP, abra o aplicação OAuth/OIDC que você usa para esse sistema e gere um novo segredo do cliente . Não revogue o segredo existente ainda.

2

Atualize o segredo no Ops Manager.

  1. No Ops Manager, acesse seu projeto. Clique em Deployment, Security e selecione a aba Settings.

  2. Em MongoDB Agent Connections to Deployment, selecione Workload Federation.

  3. Insira o novo segredo em Client Secret e clique em Save Settings.

  4. Revise e confirme o sistema.

3

Aguarde o MongoDB Agent atualizar seus tokens, normalmente dentro de uma hora.

4

Revogue o segredo antigo em seu IdP.

Voltar

Configurar TLS

Próximo

Gerenciar arquivos de configuração e senhas

Nesta página