设置自我管理的 X.509 身份验证

在此页面上

考虑因素

必需的访问权限
先决条件
配置项目以使用公钥基础设施
查看或修改自管理的 X.509 身份验证设置
使用自管理 X.509 身份验证添加数据库用户

自管理的 X. 509证书为数据库用户提供对项目中集群的访问权限。数据库用户与 Atlas 用户是分开的。数据库用户可以访问 MongoDB 数据库，而 Atlas 用户可以访问 Atlas 应用程序本身。

考虑因素

如果您启用 LDAP 授权，则使用 Atlas 托管的 X. 509证书进行身份验证的用户将无法连接到集群。

启用 LDAP授权后，您可以通过使用自托管 X. 509证书进行身份验证的用户来连接集群。但是，用户的 X. 509证书中的公用名必须与有权使用 LDAP 访问数据库的用户的标识名匹配。

在同一个数据库中，您可以同时拥有使用自管理证书进行身份验证的用户和使用 Atlas 管理的 X.509 证书进行身份验证的用户。

必需的访问权限

要管理数据库用户，您必须对 Atlas 拥有 Organization Owner（组织所有者）或 Project Owner（项目所有者）访问权限。

先决条件

要使用自管理的 X.509 证书，您必须拥有公钥基础架构才能与 MongoDB Atlas 集成。

配置项目以使用公钥基础设施

打开自管理的 X.509 身份验证功能。

在 Atlas 左侧导航面板的 Security 部分中，单击 Advanced 。
将 Self-Managed X.509 Authentication 切换到 ON。

提供 PEM 编码的证书颁发机构。

查看或修改自管理的 X.509 身份验证设置

使用自管理 X.509 身份验证添加数据库用户

打开 Add New Database User 对话框。

在左侧导航栏的 Security（安全性）部分中，单击 Database Access（数据库访问权限）。随后会显示 Database Users（数据库用户）标签页。
单击 Add New Database User（添加新的数据库用户）。

选择 CERTIFICATE 。

输入用户信息。

字段

说明

Distinguished Name

用户的公用名 (CN) 和可选的附加标识名字段 ( RFC4514 ）（来自下表）：

名称	说明	类型	大小（以 MB 为单位）
`businesscategory`	`businessCategory` 属性，用于描述组织所从事业务的类型。	DirectoryString	SIZE(1..128)
`c`	双字母 ISO3166 国家/地区代码。	StringType	SIZE(2)
`cn`	对象的通用名称。如果对象对应于人员，通常是人员的全名。	StringType	SIZE(1..64)
`countryofcitizenship`	RFC3039`CountryOfCitizenship` 属性，其中包含至少一个公民身份所在国家/地区的标识符。接受 ISO3166 仅限代码。	PrintableString	SIZE(2)
`countryofresidence`	RFC3039`CountryOfResidence` 属性，其中至少包含一个国家/地区的值。接受 ISO3166 仅限代码。	PrintableString	SIZE(2)
`dateofbirth`	RFC3039`DateOfBirth` 属性，用于指定主题的出生日期。	采用如下格式的 GeneralizedTime：`YYYYMMDD000000Z`。
`dc`	`domainComponent` 属性类型，包含一个 DNS 域名。	StringType
`dn`	`dnQualifier` 属性类型，包含要添加到条目的相对标识名的消歧信息。	DirectoryString	SIZE(1..64)
`e`	Verisign 证书中的电子邮件地址。
`emailaddress`	`emailAddress`（RSA PKCS#9 扩展名）属性，该属性将一个或多个电子邮件地址指定为非结构化 ASCII 字符串。	IA5String
`gender`	RFC3039`Gender` 属性，用于指定主题的性别值。接受`M` 、`F` 、`m` 或`f` 。	PrintableString	SIZE(1)
`generation`	`generationQualifier` 包含名称字符串的属性类型，这些名称字符串通常是人名的后缀部分。	DirectoryString	SIZE(1..64)
`givenname`	姓名字符串，即姓名中除姓氏以外的部分。	DirectoryString	SIZE(1..64)
`initials`	除姓氏以外，个人部分或全部姓名的首字母缩写。	DirectoryString	SIZE(1..64)
`l`	`localityName` 包含地区或地点（例如城市、县或其他地理区域）名称的属性。	StringType	SIZE(1..64)
`name`	(`id-at-name`) 属性超类型，使用名称语法从中继承用户属性类型。	DirectoryString	SIZE(1..64)
`nameofbirth`	ISIS-MTT`NameAtBirth` 属性，用于指定人员出生时的姓名。	DirectoryString	SIZE(1..64)
`o`	组织名称。	StringType	SIZE(1..64)
`ou`	组织单位名称。	StringType	SIZE(1..64)
`placeofbirth`	RFC3039`PlaceOfBirth` ，用于指定出生地的值。	DirectoryString	SIZE(1..128)
`postaladdress`	RFC3039`PostalAddress` ，包括和`stateOrProvinceName` `localityName`属性类型（如果存在），用于存储地址和地理信息。	顺序	SIZE (1..6) OF DirectoryString(SIZE(1..30))
`postalcode`	`postalCode` 该属性用于指定邮政服务用来识别邮政服务区域的代码。	DirectoryString	SIZE(1..40)
`pseudonym`	RFC3039`pseudonym` 属性，用于指定假名，例如昵称和拼写与注册名称定义不同的名称。	DirectoryString	SIZE(1..64)
`serialnumber`	设备序列号名称。	StringType	SIZE(1..64)
`sn`	设备序列号名称。	StringType	SIZE(1..64)
`st`	州或省名称。	StringType	SIZE(1..64)
`street`	街道名称。	StringType	SIZE(1..64)
`surname`	X520name 类型的命名属性。	DirectoryString	SIZE(1..64)
`t`	`Title` 属性，包含主体在组织中的指定职位或职能。	DirectoryString	SIZE(1..64)
`telephonenumber`	`id-at-telephoneNumber`，这是国际公认的国际电话号码格式。	PrintableString	SIZE (1..32)
`uid`	LDAP 用户 ID。	DirectoryString
`uniqueidentifier`	对象的唯一标识符。	DirectoryString
`unstructuredaddress`	PKCS#9 属性，将主题的一个或多个地址指定为非结构化目录字符串。	DirectoryString
`unstructuredname`	PKCS#9 属性，用于将一个或多个主题名称指定为非结构化 ASCII 字符串。	DirectoryString	SIZE(1..64)

有关标识名字段的更多信息，请参阅 RFC4514 。

例子

CN=Jane Doe,O=MongoDB,C=US

User Privileges

可以通过以下方式之一分配角色：

选择 Atlas admin，为用户提供 readWriteAnyDatabase 以及一些管理权限。
选择 Read and write to any database，将授权用户读取和写入任意数据库。
选择 Only read any database（仅读取任意数据库），将授权用户读取任意数据库。
选择Select Custom Role以选择之前在 Atlas 中创建的自定义角色。如果内置数据库用户角色无法描述所需的权限集，您可以为数据库用户创建自定义角色。有关自定义角色的更多信息，请参阅配置自定义数据库角色。

单击 Add Default Privileges（添加默认权限）。单击此选项之后，可以选择个别角色以及指定角色适用的数据库。（可选）对于 read 和 readWrite 角色，还可以指定一个集合。如果没有为 read 和 readWrite 指定集合，角色将适用于数据库中的所有非system（系统）集合。

注意

下表描述了 Atlas 特定权限、适用的数据库以及它们代表的权限操作。

Atlas 特定特权	数据库	特权操作
`backup`	`admin`	`listDatabases` `listCollections` `listIndexes` `appendOplogNote` `getParameter` `serverStatus`
`clusterMonitor`	`admin`	`connPoolStats` `getCmdLineOpts` `getDefaultRWConcern` `getLog` `getParameter` `getShardMap` `hostInfo` `inprog` `listDatabases` `listSessions` `listShards` `netstat` `replSetGetConfig` `replSetGetStatus` `serverStatus` `shardingState` `top`
`dbAdmin`	用户已配置	`bypassDocumentValidation` `changeStream` `collMod` `collStats` `compact` `convertToCapped` `createCollection` `createIndex` `createSearchIndex` `dbHash` `dbStats` `dropCollection` `dropDatabase` `dropIndex` `dropSearchIndex` `enableProfiler` `find` `killCursors` `listCollections` `listIndexes` `listSearchIndexes` `planCacheIndexFilter` `planCacheRead` `planCacheWrite` `reIndex` `renameCollectionSameDB` `storageDetails` `updateSearchIndex` `validate`
`dbAdminAnyDatabase`	除了 `local` 和 `config` 之外的用户配置	`dbAdminAnyDatabase`
`enableSharding`		`enableSharding`
`read`	用户已配置	`changeStream` `collStats` `dbHash` `dbStats` `find` `killCursors` `listIndexes` `listCollections` `listSearchIndexes`
`readWrite`	用户已配置	`changeStream` `collStats` `convertToCapped` `createCollection` `createSearchIndex` `dbHash` `dbStats` `dropCollection` `createIndex` `dropIndex` `dropSearchIndex` `find` `insert` `killCursors` `listIndexes` `listCollections` `listSearchIndexes` `remove` `renameCollectionSameDB` `update`
`killOpSession`	用户已配置	`inprog` `killop` `killAnySession` `listSessions`
`readWriteAnyDatabase`	除了 `local` 和 `config` 之外的用户配置	`readWriteAnyDatabase` `changeStream` `collStats` `convertToCapped` `createCollection` `createSearchIndex` `dbHash` `dbStats` `dropCollection` `dropSearchIndex` `createIndex` `dropIndex` `find` `insert` `killCursors` `listIndexes` `listCollections` `listDatabases` `listSearchIndexes` `remove` `renameCollectionSameDB` `update`
`readAnyDatabase`	除了 `local` 和 `config` 之外的用户配置	`readAnyDatabase` `changeStream` `collStats` `dbHash` `dbStats` `find` `killCursors` `listIndexes` `listCollections` `listDatabases` `listSearchIndexes`

有关 Atlas 内置权限的信息，请参阅内置角色。

有关授权的更多信息，请参阅 MongoDB 手册中的基于角色的访问控制和内置角色。

单击 Add User。

← 使用 OIDC/OAuth 2设置 Workload Identity Federation（应用程序）。 0

使用客户密钥管理进行静态加密 →