Para agentes de IA: um índice de documentação está disponível em https://www.mongodb.com/pt-br/docs/llms.txt — as versões de markdown de todas as páginas estão disponíveis anexando .md a qualquer caminho de URL.
Menu Docs
Página inicial do Docs
/
Gestão
/
Ops Manager
Página inicial do Docs
/
Gestão
/
Ops Manager
Página inicial do Docs
/
Gestão
/
Ops Manager

Configurar o MongoDB Agent para Autenticação OIDC

Visão geral

Você pode configurar o MongoDB Agent, incluindo automação, monitoramento e backup, para autenticar em sistemas MongoDB usando o OIDC Workload Identity Federation. Com o OIDC, o agente usa tokens de curta duração de um Provedor deIdentidade ( IdP ) em vez de credenciais de banco de dados de longa duração. O agente atualiza automaticamente esses tokens antes que eles expirem.

Este tutorial descreve como:

  • Ative a autenticação OIDC para sua implantação do MongoDB no Ops Manager.

  • Registre uma configuração do OIDC provedor de identidade.

  • Configure o MongoDB Agent para usar a conexão OIDC.

Considerações

Método de autenticação irreversível

Depois de configurar o MongoDB Agent para Federação de Carga de Trabalho, você não poderá reverter para Autenticação Local.

Atualização de token

O MongoDB Agent atualiza automaticamente os tokens OIDC antes que eles expirem. A duração do token depende da configuração do provedor de identidade e, normalmente, varia de 5 a 60 minutos.

Configuração compartilhada do agente

A configuração do OIDC se aplica a todas as funções do agente : automação, monitoramento e backup. Você não configura cada função individualmente.

Pré-requisitos

Antes de configurar o MongoDB Agent para autenticação OIDC, habilite a OIDC Workload Identity Federation para sua MongoDB deployment. Para saber mais, consulte Configurar a Federação de Identidade do Volume de Trabalho com OAuth.2.0

Procedimento

Para configurar a autenticação OIDC para o MongoDB Agent:

1

Navegue até as configurações de Segurança.

No Ops Manager, acesse seu projeto. Na navegação à esquerda, clique em Deployment, clique em Security e selecione a aba Settings.

Observação

Se você não tiver configurado a segurança para seu projeto, um banner solicitará que você configure a criptografia, a autenticação e a autorização de rede. Clique em Get Started para acessar as configurações.

2

Ative a autenticação OIDC.

Na seção MongoDB Deployment Authentication Mechanism, selecione Federated Auth (OIDC).

3

Adicione uma configuração do provedor de identidade OIDC.

  1. Na seção OIDC Connection and Authorization, clique em + OIDC IdP Configuration.

  2. Na janela OIDC Protocol Settings, selecione Workload Identity Federation.

  3. Insira os detalhes do provedor de identidade:

    Campo
    Descrição
    Configuration Name

    Prefixo que identifica esta configuração de provedor de identidade no Ops Manager.

    Issuer URI

    URI do provedor de identidade que emite tokens de acesso.

    Audience

    Deve corresponder à aud reivindicação no JWT que seu IdP emite.

    Authorization Method

    Selecione User ID ou Group Membership, com base na configuração do seu provedor de identidade.

    Customize User Claim

    Reivindicação que identifica o usuário. Padrão é sub.

  4. Clique em Save Configuration.

4

Configure a conexão do agente com a implantação.

  1. Na seção MongoDB Agent Connections to Deployment, selecione Workload Federation.

    Importante

    Depois de implantar com a Federação de carga de trabalho, você não poderá reverter o MongoDB Agent para autenticação local.

  2. Insira os detalhes de autenticação do agente :

    Campo
    Descrição
    OIDC IdP Configuration

    Configuração do provedor de identidade que o MongoDB Agent usa para autenticar. Selecione a configuração que você criou na etapa anterior.

    User Identifier

    Valor da reivindicação principal do usuário. O Ops Manager cria o usuário MongoDB como [configuration name]/[user identifier].

    Authentication Method

    Método de autenticação para a conexão provedor de identidade do agente. Selecione Client Credentials para integrações de provedores de identidade padrão, como Okta, ou Built-in para identidades de carga de trabalho nativas da nuvem no Azure ou no GCP.

    Client ID

    ID do cliente OAuth 2.0 atribuído ao agente. Obrigatório ao usar Client Credentials.

    Client Secret

    OAuth 2.0 segredo do cliente atribuído ao agente. Obrigatório ao usar Client Credentials.

    Dica

    Se o seu IdP utilizar uma identidade de carga de trabalho nativa da nuvem, como Azure ou GCP, selecione Built-in. Você não precisa fornecer um Client ID ou Client Secret.

  3. Clique em Save Settings.

5

Revise e implemente as alterações.

  1. No modal Review Your Changes, revise a implantação. Confirme que o diff mostra Auth Mechanisms: MONGODB-OIDC e os detalhes da Federação de carga de trabalho em Auth.

  2. Confirme a implantação.

Depois que o Ops Manager aplicar as alterações, o MongoDB Agent recebe automaticamente a configuração atualizada e obtém seus tokens OIDC iniciais do provedor de identidade. O agente faz a transição para a autenticação OIDC sem reiniciar.

Gire as credenciais do agente sem tempo de inatividade

Para girar o segredo do cliente OIDC do agente sem reiniciar o MongoDB Agent:

1

Gere um novo segredo do cliente no seu IdP.

Em seu IdP, abra o aplicação OAuth/OIDC que você usa para essa implantação e gere um novo segredo do cliente. Não revogue o segredo existente ainda.

2

Atualize o segredo no Ops Manager.

  1. No Ops Manager, acesse seu projeto. Clique em Deployment, Security e selecione a aba Settings.

  2. Em MongoDB Agent Connections to Deployment, selecione Workload Federation.

  3. Insira o novo segredo em Client Secret e clique em Save Settings.

  4. Revise e confirme a implantação.

3

Aguarde o MongoDB Agent atualizar seus tokens, normalmente dentro de uma hora.

4

Revogue o segredo antigo em seu IdP.

Voltar

Configurar TLS

Próximo

Gerenciar arquivos de configuração e senhas

Nesta página