Configurar autenticação e autorização de usuário com os serviços de domínio do Microsoft Entra ID

Configurar os serviços de domínio do Microsoft Entra ID para seu domínio.

Para configurar os Serviços de Domínio do ID do Microsoft Entra, siga o Criar um domínio gerenciado avançado tutorial na documentação do Azure usando a Custom domain names opção de nome DNS do .

Ao configurar seu domínio gerenciado, certifique-se de notar o valor inserido no campo DNS domain name. Este valor é o seu <managed-domain>. Você deve fornecê-lo em vários lugares deste tutorial.

Obtenha um certificado SSL para LDAP seguro.

Os serviços de domínio do Microsoft Entra ID usa certificados SSL para o LDAP seguro. Seu certificado deve seguir os requisitos descritos na documentação do Azure.

Para obter um certificado,:

• Obtenha um da autoridade de certificação pública ou empresarial (CA) que sua organização utiliza.

  • Você deve obter um certificado curinga para garantir que o LDAP seguro funcione corretamente com os serviços de domínio do Microsoft Entra ID.

  • O nome do assunto do certificado deve corresponder ao <managed-domain> que você utilizou quando configurou os serviços de domínio do Microsoft Entra ID.

    Exemplo

    *.aadds.example.com

• Gere um certificado auto assinado. Os certificados autoassinados não são recomendados para produção.

Para gerar um certificado auto assinado em sistemas MacOS ou Linux para fins de teste:

brew install openssl

1. Gere uma chave privada com openssl. O seguinte comando gera um arquivo de chave privada denominado <your-key-name>.key:

   openssl genrsa -out <your-key-name>.key 2048

2. Edite o seguinte modelo de arquivo de configuração. Atualize os atributos na seção [dn-param] com valores que se relacionam com sua organização. Certifique-se de que o nome do assunto (CN) corresponde ao seguinte modelo: *.<managed-domain>

   Exemplo

   *.aadds.example.com

   # openssl x509 extfile params
   extensions = extend
   [req] # openssl req params
   prompt = no
   distinguished_name = dn-param
   [dn-param] # DN fields
   C = US
   ST = NY
   L  = New York
   O = MongoDB
   OU = Atlas
   CN = *.aadds.example.com
   [extend] # openssl extensions
   subjectKeyIdentifier = hash
   authorityKeyIdentifier = keyid:always
   keyUsage = digitalSignature,keyEncipherment,keyCertSign
   extendedKeyUsage=serverAuth,clientAuth

3. Salve o arquivo como <your-config-name>.cfg.

4. Gere uma solicitação de assinatura de certificado utilizando a chave e os arquivos de configuração que você criou. O seguinte comando gera um pedido de assinatura de certificado denominado <your-csr-name>.csr:

   openssl req -new -key <your-key-name>.key \
   -out <your-csr-name>.csr -config <your-config-name>.cfg \
   -extensions extend

5. Gere um certificado autoassinado usando os arquivos de solicitação de chave, configuração e assinatura de certificado que você criou. O seguinte comando gera um arquivo de certificado auto assinado denominado <your-cert-name>.crt:

   openssl x509 -req -sha256 -days 365 -in <your-csr-name>.csr \
   -signkey <your-key-name>.key -out <your-cert-name>.crt \
   -extfile <your-config-name>.cfg

Para gerar um certificado auto assinado em um sistema Windows para fins de teste, consulte a documentação Azure.

Obtenha um certificado SSL que inclua sua chave privada.

Os serviços de domínio do Microsoft Entra ID usa chaves privadas para descriptografar o tráfego LDAP seguro. Os certificados que incluem chaves privadas utilizam o formato PKCS#12 e o formato de arquivo .pfx. Você deve carregar um certificado desse formato nos serviços de domínio do Microsoft Entra ID para descriptografar o tráfego LDAP seguro enviado por meio da internet pública.

Para gerar um certificado .pfx em sistemas MacOS ou Linux:

1. Salve sua chave pública e certificado SSL em sua máquina local.

   Observação

   Seu certificado deve usar o formato PEM.

   Se o seu certificado não contiver sua chave privada, você poderá salvar sua chave privada em um arquivo de formato .key.

2. Gere um certificado do .pfx utilizando sua chave privada e seu certificado com openssl. O seguinte comando gera um arquivo de certificado do .pfx denominado <your-cert-name>.pfx:

   openssl pkcs12 -export -out <your-cert-name>.pfx \
   -inkey <your-key-name>.key -in <your-cert-name>.crt

   Quando solicitado, insira e verifique uma senha para criptografar o arquivo. Você digitará essa senha para descriptografar sua chave privada ao carregar o certificado .pfx para os serviços de domínio do Microsoft Entra ID.

Para gerar um certificado do .pfx em um sistema Windows, consulte a documentação do Azure.

Habilite o LDAP seguro nos serviços de domínio do Microsoft Entra ID.

Para habilitar o LDAP seguro nos serviços de domínio do Microsoft Entra ID, consulte a documentação do Azure.

Configure seu provedor de DNS.

Você deve configurar seu provedor de DNS para que o Atlas e os nós do banco de dados possam se conectar ao servidor LDAP no domínio personalizado que os serviços de domínio do Microsoft Entra ID gerencia.

Crie um registro de host para o tráfego LDAP que resolva um subdomínio do seu <managed-domain> para o endereço IP externo que o serviço LDAP dos serviços de domínio do Microsoft Entra ID usa:

Para encontrar o endereço IP externo usado pelo serviço LDAP dos serviços de domínio do Microsoft Entra ID, consulte a documentação do Azure.

Adicione seu domínio personalizado ao Microsoft Entra ID.

Adicione seu nome de domínio personalizado ao Microsoft Entra ID para criar usuários que pertençam ao seu domínio. Após adicionar seu domínio, você também deve adicionar as informações de DNS do Microsoft Entra ID em um registro do TXT com seu provedor de DNS e verificar a configuração.

Para adicionar seu domínio personalizado ao Microsoft Entra ID,consulte a documentação do Azure.

Configurar os serviços de domínio do Microsoft Entra ID para tráfego LDAP de entrada.

É necessário permitir que todo o tráfego em todas as portas da internet pública até a porta 636 utilize os serviços de domínio do Microsoft Entra ID como um fornecedor LDAP com o Atlas.

Para adicionar uma regra de segurança de entrada para permitir tráfego LDAP de entrada na porta 636, consulte a documentação do Azure.

Crie um usuário vinculado.

Crie um usuário vinculado. O usuário vinculado é um usuário do Microsoft Entra ID que você usa para fazer query na conta e autenticar as credenciais dos usuários do banco de dados quando eles se conectam a um banco de dados do Atlas. O usuário vinculado deve pertencer ao domínio personalizado que você adicionou ao Microsoft Entra ID.

Para criar usuários do Microsoft Entra ID, consulte a documentação do Azure.

Habilite a conta do usuário vinculado para os serviços de domínio do Microsoft Entra ID.

Você deve gerar um hash de senha para o usuário vinculado para autenticação Kerberos e NTLM antes que o usuário vinculado possa usar os serviços de domínio do Microsoft Entra ID. As etapas dependem do tipo de conta de usuário do Microsoft Entra ID.

Para saber como gerar hashes de senha para seus usuários, consulte a documentação do Azure.

Atribua o papel de Leitores de Diretório à conta de usuário vinculada.

Para fazer query no Microsoft Entra ID, o usuário vinculado deve ter permissões concedidas por meio da função Leitores de Diretório.

Para atribuir a função Leitores de Diretório ao usuário associado, consulte a documentação do Azure.

Crie usuários do Microsoft Entra ID.

Se ainda não existirem, crie usuários nos serviços de domínio do Microsoft Entra ID ao quais você deseja conceder acesso ao banco de dados. Os usuários devem pertencer ao domínio personalizado que você adicionou ao Microsoft Entra ID.

Para criar usuários do Microsoft Entra ID, consulte a documentação do Azure.

No Atlas, váGo para a Advanced página do seu projeto.

1. Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.

2. Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.

3. Na barra lateral, clique em Advanced sob o título Security.

   A página Avançado é exibida.

Alterne o botão ao lado de LDAP Authentication para On.

Digite os detalhes do servidor e as credenciais de associação de todos os seus servidores LDAP no painel Configure Your LDAP Server.

Você pode listar vários servidores separados por vírgulas. Você não pode usar portas diferentes.

Adicionar um usuário ao mapeamento de DN.

Adicione um mapeamento de usuário ao DN semelhante ao exemplo a seguir para permitir que os clientes forneçam seu nome de usuário em vez de DNs completos ao se conectarem aos bancos de dados Atlas:

[
  {
      "match":"(.+)",
      "substitution":"CN={0},OU=AADDC Users,DC=<managed-domain>,DC=com"
  }
]

Se o seu <managed-domain> consiste em um ou mais subdomínios, você deve adicionar um atributo DC (domainComponent) ao nome distinto para cada um.

Insira certificados emitidos de uma Autoridade de Certificação (CA) para seus servidores LDAP, separados por vírgulas, no campo CA Root Certificate.

Você pode fornecer certificados autoassinados.

Clique em Verify and Save.

Aguarde o Atlas implementar suas alterações. O Atlas verifica se seus clusters podem se conectar, autenticar e executar query de seus servidores LDAP usando os detalhes de configuração que você forneceu.

No Atlas, váGo para a Database Access página do seu projeto.

1. Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.

2. Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.

3. Na barra lateral, clique em Database Access sob o título Security.

   A página Acesso ao banco de dados é exibida.

Adicione usuários LDAP ao Atlas.

Adicione usuários gerenciados no Azure AD no Atlas.

1. Clique em Add New Database User.

2. Clique em LDAP User.

3. Execute um dos seguintes procedimentos:

   1. Se você não inseriu um User to DN Mapping, insira o DN completo do usuário LDAP. Siga este modelo:

      CN=<user-name>,OU=AADDC Users,DC=<managed>,DC=<domain>,DC=com

      Por exemplo, se o seu <user-name> é Jane Doe e o seu <managed-domain> é aadds.example.com, o seu DN do utilizador é:

      CN=Jane Doe,ou=AADDC Users,DC=aadds,DC=example,DC=com

   2. Se você inseriu um User to DN Mapping, insira o nome de usuário que seu mapeamento exige.

4. Selecione o nível de acesso do banco de dados para conceder ao usuário.

5. Clique em Add User.

No Atlas, váGo para a Database Access página do seu projeto.

1. Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.

2. Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.

3. Na barra lateral, clique em Database Access sob o título Security.

   A página Acesso ao banco de dados é exibida.

Adicione os grupos LDAP de acesso de banco de dados ao Atlas.

Adicione cada um dos grupos de banco de dados Azure que você criou no Atlas. Membros de grupos que você adiciona estão autorizados a executar ações do banco de dados concedidas ao grupo.

1. Clique em Add New Database User.

1. Clique em LDAP Groupe, em seguida, insira o DN completo do grupo que contém os usuários do banco de dados, mesmo que você tenha habilitado User to DN Mapping. Siga este modelo:

   CN=<group-name>,OU=AADDC Users,DC=<managed-domain>,DC=com

   Observação

   Para os serviços de domínio do Microsoft Entra ID, os atributos em nomes distintos devem estar em letras maiúsculas.

   Se o seu <managed-domain> consiste em um ou mais subdomínios, você deve adicionar um atributo DC (domainComponent) ao nome distinto para cada um.

   Exemplo

   Se o seu <managed-domain> for aadds.example.com, os componentes do domínio são:

   DC=aadds,DC=example,DC=com

   Por exemplo, se o seu <group-name> é Atlas read only e o seu <managed-domain> é aadds.example.com, o seu DN do utilizador é:

   CN=Atlas read only,OU=AADDC Users,DC=aadds,DC=example,DC=com

1. Selecione o nível de acesso ao banco de dados para conceder aos usuários deste grupo.

2. Clique em Add User.

No Atlas, váGo para a Advanced página do seu projeto.

1. Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.

2. Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.

3. Na barra lateral, clique em Advanced sob o título Security.

   A página Avançado é exibida.

Alterne o botão ao lado de LDAP Authorization para On.

Verifique se os detalhes do servidor e as credenciais de vinculação do seu servidor LDAP estão corretos no painel Configure Your LDAP Server.

Insira um modelo de query em Query Template.

Quando um usuário tenta executar uma ação, o Atlas executa o modelo de query LDAP para obter os grupos LDAP aos quais o usuário autenticado pertence. O Atlas permite a ação se a query retornar pelo menos um grupo autorizado a executar a ação. O Atlas não permite a ação se a query não retornar grupos autorizados a executar a ação.

O Atlas substitui o nome de usuário autenticado no espaço reservado {USER} quando executa a query. A query é relativa ao host especificado no Server Hostname.

A formatação da query deve estar em conformidade com RFC4515.

Se quiser identificar de qual grupo um usuário é membro, você pode usar o padrão Query Template:

{USER}?memberOf?base

Clique em Verify and Save.

Aguarde o Atlas implementar suas alterações. O Atlas verifica se seus clusters podem se conectar, autenticar e executar query de seu servidor LDAP usando os detalhes de configuração fornecidos por você.

No Atlas, váGo para a Clusters página do seu projeto.

1. Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.

2. Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.

3. Se ainda não estiver exibido, clique em Clusters na barra lateral.

   A página Clusters é exibida.

Use o mongosh para fazer a conexão com seu cluster com as credenciais de usuário que você adicionou no Atlas.

Para copiar a cadeia de conexão:

1. Clique em Connect.

2. Clique em LDAP e depois em Copy.

3. Cole e edite a string com seu DN de usuário e senha.

Se o seu <managed-domain> consiste em um ou mais subdomínios, você deve adicionar um atributo DC (domainComponent) ao nome distinto para cada um.

Espaços de escape em nomes de usuários ou grupos no DN completo do usuário:

--username CN=Jane\ Doe,OU=AADDC\ Users,DC=aadds,DC=example,DC=com

Depois de se conectar ao cluster, execute comandos para verificar se o usuário tem os privilégios de leitura ou gravação que você atribuiu a ele.