从MongoDB 8.0开始, LDAP身份验证和授权已弃用。 LDAP可用并将在MongoDB 8的整个生命周期内继续运行而不进行更改。 LDAP将在未来的主要发布中删除。
您应该计划从LDAP迁移到其他身份验证方法。
完整的LDAP迁移信息将在将来提供。
详情
以下部分介绍了自我管理的MongoDB Enterprise Advanced、 MongoDB Atlas和MongoDB Atlas for Government 的替代身份验证方法。
自管理MongoDB Enterprise Advanced
对于人类用户访问权限, MongoDB建议从LDAP迁移到 Workforce Identity Federation(OIDC身份验证)。Workforce Identity Federation 允许使用任何支持 OIDC 的 IdP(例如Microsoft Active Directory Federation Services (ADFS)、 Microsoft Entra ID 、Okta 和 Ping Identity)对**自管理**的MongoDB**数据库**访问权限单点登录 (SSO)。
对于编程用户, MongoDB建议从LDAP迁移到 Workload Identity Federation。 借助 Workload Identity Federation,您的应用程序可以通过授权服务提供的 OAuth 2.0访问权限令牌来使用数据库。
您还可以使用云提供商主体,例如Microsoft Azure托管身份和Google Cloud Platform (GCP) 服务帐户。如果无法使用 Workload Identity Federation, MongoDB建议使用 X.509 证书身份验证。
要使用MongoDB服务器配置 Workforce Identity Federation(OIDC身份验证),请参阅 使用 Workforce Identity Federation 配置MongoDB 。
配置 Workload Identity Federation (OAuth2.0) MongoDB服务器,请参阅使用 Workload Identity Federation 配置MongoDB 。
要使用MongoDB Cloud Manager配置劳动力和工作负载联合身份验证,请参阅 使用Cloud Manager启用身份验证和授权。
要使用 MongoDB Ops Manager 配置劳动力和工作负载联合身份,请参阅使用MongoDBMongoDB Ops Manager Ops ManagerMongoDB Ops Manager MongoDB Ops Manager启用身份验证和授权。
对于自管理MongoDB 部署,与LDAP相比,劳动力和工作负载联合身份验证的一些优点包括:
MongoDB中不存储任何凭证: LDAP绑定用户凭证存储在MongoDB中。使用“劳动力或工作负载身份联合”时, MongoDB不会存储授予对用户目录的访问权限的凭证或密钥。
降低跨应用程序风险:在LDAP连接中,用户的LDAP凭证会在连接字符串中发送到MongoDB LDAPLDAPMongoDBstring,这会带来跨应用程序访问权限的风险。但是,对于 Workforce and Workload Identity Federation, MongoDB永远不会收到密钥。 OIDC 和 OAuth 2.0 使用受众群体声明为特定资源授予访问权限令牌。如果令牌遭到泄露,则无法使用该令牌访问权限其他应用程序。
使用访问权限令牌提高安全性:联合身份验证通过术语访问权限令牌授予访问权限,与LDAP相比,这提高了安全性。访问令牌的有效期通常为一小时。通常可以根据 身份提供程序 自定义该时间段。
对应用程序用户进行无密码身份验证:如果您的应用程序在云中运行,则 Workload Identity Federation 支持对特定云资源上运行的应用程序进行无密码身份验证。这样就无需定期更新凭证。
MongoDB Atlas和Atlas for Government
对于人类用户访问权限, MongoDB建议从LDAP迁移到 Workforce Identity Federation(OIDC身份验证)。Workforce Identity Federation 允许访问权限任何支持 OIDC 的 IdP(例如Microsoft Entra ID 、Okta 和 Ping Identity)对Atlas集群进行单点登录 (SSO)。
对于编程用户, MongoDB建议从LDAP迁移到Amazon AWS-IAM身份验证或 Workload Identity Federation。 如果您的应用程序在Amazon Web Services资源上运行,则可以使用Amazon Web ServicesAmazon Web ServicesAmazon Web Services -IAM身份验证来访问权限具有AmazonMongoDB Atlas Amazon Web ServicesWeb Services -IAM 角色的MongoDB Atlas集群。
如果您的应用程序在Microsoft Azure或Google Cloud Platform系统上运行,则可以使用 Workload Identity Federation,通过Microsoft Azure托管身份或Google Cloud Platform服务帐户访问权限Atlas集群。如果无法使用 AWS-IAM 或 Workload Identity Federation, MongoDB建议使用 X.509 证书身份验证。
要开始使用 AWS-IAM身份验证,请参阅使用 AWS-IAM 设置身份验证。
与Atlas中的LDAP相比,劳动力和工作负载身份联合的一些优点是:
提高网络安全性: LDAP需要公共完全限定域名 (FQDN),这会产生潜在的防火墙漏洞。借助 Workforce Identity Federation,您可以使用连接互联网的身份提供程序,并将部分用户目录同步到身份提供程序,从而提高 Workforce Identity Federation 的安全。
改进凭证处理:与LDAP不同,使用 Workforce 或 Workload Identity Federation 时,用户凭证不会发送到或存储在MongoDB中。
适用于人类用户的新式身份验证策略: Workforce Identity Federation 允许通过 IdP 进行身份验证,从而支持使用新式身份验证策略。
配置简单: LDAP用户需要为Atlas进行复杂的网络配置。 Identity Federation 的配置更简单。
使用访问权限令牌提高安全性:劳动力和工作负载联合身份验证以及 AWS-IAM身份验证通过术语访问权限令牌授予访问权限,与LDAP相比提高了安全性。访问令牌的有效期通常为一小时。通常可以根据 身份提供程序 自定义该时间段。
对应用程序用户进行无密码身份验证:Workload Identity Federation 支持对特定云资源上运行的应用程序进行无密码身份验证。这样就无需定期更新凭证。
成本效率:对于Atlas Developer 和 Pro 的支持, LDAP作为高级安全包的一部分收取费用。 Workforce and Workload Identity Federation 不收取额外费用。 有关定价,请参阅: