您可以使用 OpenID Connect (OIDC)身份验证与MongoDB MCP服务器连接到MongoDB Enterprise部署或MongoDB Atlas 群集。
要学习;了解详情,请参阅使用 OIDC/OAuth 2.0 进行身份验证和授权。
配置选项
要使用 OIDC 连接到MongoDB 部署,请在 MCP服务器配置中配置以下选项:
CLI选项名称 | 操作系统环境变量名称 | 类型 | 必要性 | 说明 |
|---|---|---|---|---|
|
| 字符串 | 必需 | 设置为 |
|
| 字符串数组 | Optional | 以逗号分隔的列表形式指定 OIDC 流。OIDC 流指定MongoDB MCP服务器如何与身份提供商交互以进行身份验证进程。MongoDB MCP服务器支持以下 OIDC 流: |
|
| 字符串 | Optional | 指定身份提供程序在身份验证后将您重定向的 URI。URI 必须与身份提供程序的配置匹配。默认值: |
|
| 字符串 | Optional | 指定启用 |
|
| 布尔 | Optional | 指定MongoDB MCP服务器是否使用从身份提供商收到的ID令牌而不是访问权限令牌。将此选项与您无法配置的身份提供程序一起使用以提供JSON web token访问权限令牌。 |
|
| 字符串 | Optional | 指定一个与受信任端点的连接(不是 Atlas 或 localhost),以确保访问令牌发送到受信任的服务器。仅在连接到您信任的服务器时使用此选项。 |
OIDC 流
MongoDB MCP服务器支持两种 OIDC 流:
授权代码流(默认)
设备授权授予流程(当基于浏览器的身份验证不可用时)
注意
当您将MongoDB MCP 服务器配置为接受远程连接时,它会使用设备授权授予流。
授权代码流是默认的OIDC 机制。在此流程中,用户在浏览器中向身份提供商(IdP) 进行身份验证,MCP服务器将授权代码交换为令牌。
如果使用MongoDB连接字符串启动服务器,则服务器将在初创企业时完成基于浏览器的身份验证。
如果您使用 MCP 服务器的
connect工具,身份验证将以交互方式运行。正在进行身份验证时,无法执行需要数据库连接的操作。如果登录没有立即完成,则尝试超时,您可以重试。您可以查看 MCP服务器日志以了解详细信息。
在浏览器不可用的环境中,MCP 服务器使用设备授权授予流程。当 MCP 服务器使用HTTP传输运行时,可以使用设备授权。有关使用HTTP传输 (--transport http) 运行MCP 服务器的说明,请参阅MongoDB MCP 服务器配置。
要启动设备授权:
正在进行身份验证时,无法执行需要数据库连接的操作。如果登录没有立即完成,则尝试超时,您可以重试。有关详细信息,请参阅 MCP服务器日志。