Menu Docs
Página inicial do Docs
/
MongoDB Atlas
/
Configure recursos de segurança
/
Autenticação

Configurar autenticação X.509 autogerenciada

Nesta página

  • Considerações
  • Acesso necessário
  • Pré-requisitos
  • Configurar um projeto para usar uma infraestrutura de chave pública
  • Exibir ou modificar configurações de autenticação X.509 autogerenciadas
  • Adicionar um usuário de banco de dados usando a autenticação X.509 autogerenciada

Os certificados X.509 autogerenciados fornecem aos usuários do banco de dados acesso aos clusters do seu projeto. Os utilizadores de banco de dados são separados dos Atlas users. Os usuários do banco de dados têm acesso aos bancos de dados MongoDB, enquanto os usuários Atlas têm acesso ao próprio aplicativo Atlas.

Considerações

Se você habilitar a autorização LDAP, não poderá se conectar aos seus clusters com usuários que se autenticam com um certificado X.509 gerenciado pelo Atlas.

Depois de ativar a autorizaçãoLDAP , você pode se conectar aos seus clusters com usuários que se autenticam com um certificado X.509 autogerenciado. No entanto, o nome comum do usuário em seu certificado X.509 deve corresponder ao nome distinto de um usuário autorizado a acessar seu banco de dados com LDAP.

É possível ter usuários que se autenticam com certificados autogerenciados e usuários que se autenticam com certificados X.509 gerenciados pelo Atlas no mesmo banco de dados.

Acesso necessário

Para gerenciar usuários do banco de dados, você deve ter acesso do Organization Owner ou Project Owner ao Atlas.

Pré-requisitos

Para usar certificados X.509 autogerenciados, você deve ter uma infraestrutura de chave pública para integrar ao MongoDB Atlas.

Configurar um projeto para usar uma infraestrutura de chave pública

1

No Atlas, acesse a Advanced página do seu projeto.

  1. Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.

  3. Na barra lateral, clique em Advanced sob o título Security .

    A páginaAvançado é exibida.

2

Ative a autenticação X.509 autogerenciada.

Alterne Self-Managed X.509 Authentication para ON.

3

Forneça uma autoridade de certificação codificada PEM.

Para salvar uma configuração X.509 gerenciada pelo cliente para o projeto que você especificar usando o Atlas CLI, execute o seguinte comando:

atlas security customerCerts create [options]

Para saber mais sobre a sintaxe e os parâmetros do comando, consulte a documentação do Atlas CLI para criar Atlas customerCerts de segurança.

Dica

Veja: links relacionados

Você pode fornecer uma Autoridade de Certificação (CA) usando a UI do Atlas por:

  • Clicar em Upload e selecionar um arquivo .pem do seu sistema de arquivos e clicar em Save.

  • Copiando o conteúdo de um arquivo .pem para a área de texto fornecida e clicando em Save.

Você pode concatenar várias CAs no mesmo arquivo .pem ou na área de texto. Os usuários podem autenticar com certificados gerados por qualquer uma das CAs fornecidas.

Quando você carrega uma CA, um alerta em nível de projeto é criado automaticamente para enviar uma notificação 30 dias antes da expiração da CA, repetindo a cada 24 horas. Você pode visualizar e editar este alerta na página Alert Settings do Atlas. Para obter mais informações sobre como configurar alertas, consulte Configurar configurações de alerta.

Exibir ou modificar configurações de autenticação X.509 autogerenciadas

Para retornar os detalhes de uma configuração X.509 gerenciada pelo cliente para o projeto que você especifica utilizando o Atlas CLI, execute o seguinte comando:

atlas security customerCerts describe [options]

Para desativar uma configuração X.509 gerenciada pelo cliente para o projeto que você especifica utilizando o Atlas CLI, execute o seguinte comando:

atlas security customerCerts disable [options]

Para saber mais sobre a sintaxe e parâmetros para os comandos anteriores, consulte a documentação do Atlas CLI para descrever Atlas customerCerts de segurança e desabilitar Atlas customerCerts de segurança.

Dica

Veja: links relacionados

Para visualizar ou editar sua CA utilizando a UI do Atlas, clique em Self-Managed X.509 Authentication Settings ícone.

Adicionar um usuário de banco de dados usando a autenticação X.509 autogerenciada

1

No Atlas, vá Database Access para a página do seu projeto.

  1. Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.

  3. Na barra lateral, clique em Database Access sob o título Security .

    A página Acesso ao banco de dados é exibida.

2

Abra a Add New Database User caixa de diálogo .

  1. Se não estiver exibido, clique na aba Database Users .

  2. Clique em Add New Database User.

3

Selecione CERTIFICATE.

4

Insira as informações do usuário.

Campo
Descrição
Distinguished Name

O common name (CN) do usuário e, opcionalmente, campos adicionais de distinguished name(RFC 4514) da tabela a seguir:

Nome
Descrição
Tipo
Tamanho (em MB)
businesscategory
businessCategory atributo que descreve os tipos de negócios realizados por uma organização.
DirectoryString
TAMANHO(1..128)
c
ISO de 3166 duas letras código do país.
StringType
TAMANHO(2)
cn
Nomes comuns de um objeto. Se o objeto corresponder a uma pessoa, normalmente é o nome completo da pessoa.
StringType
TAMANHO(1..64)
countryofcitizenship
RFC 3039 CountryOfCitizenship atributo que contém o identificador de pelo menos um país de cidadania. Aceita ISO 3166 apenas códigos.
PrintableString
TAMANHO(2)
countryofresidence
RFC 3039 CountryOfResidence atributo que contém o valor de pelo menos um país. Aceita ISO 3166 apenas códigos.
PrintableString
TAMANHO(2)
dateofbirth
RFC 3039 DateOfBirth atributo, que especifica a data de nascimento do sujeito.
GeneralizedTime neste formato: YYYYMMDD000000Z.
dc
domainComponent tipo de atributo que contém um nome de domínio DNS.
StringType
dn
dnQualifier tipo de atributo que contém informações desambíguas para adicionar ao nome distinto relativo de uma entrada.
DirectoryString
TAMANHO(1..64)
e
Endereço de e-mail nos certificados Verisign.
emailaddress
emailAddress (RSA PKCS#9 extensão) que especifica o endereço ou endereços de email como uma string ASCII não estruturada.
IA5string
gender
RFC 3039 Gender atributo que especifica o valor do gênero do assunto. Aceita M, F, m ou f.
PrintableString
TAMANHO(1)
generation
generationQualifier tipo de atributo que contém strings de nome que normalmente são a parte do sufixo do nome de uma pessoa.
DirectoryString
TAMANHO(1..64)
givenname
Strings de nomes que fazem parte do nome de uma pessoa que não é seu sobrenome.
DirectoryString
TAMANHO(1..64)
initials
Iniciais de alguns ou todos os nomes de um indivíduo, exceto os sobrenomes.
DirectoryString
TAMANHO(1..64)
l
localityName atributo que contém nomes de uma localidade ou local, como uma cidade, condado ou outra região geográfica.
StringType
TAMANHO(1..64)
name
(id-at-name) Supertipo de atributo a partir do qual os tipos de atributo de usuário com a sintaxe de nome herdam.
DirectoryString
TAMANHO(1..64)
nameofbirth
ISIS-MTT NameAtBirth atributo que especifica o nome de uma pessoa em seu nascimento.
DirectoryString
TAMANHO(1..64)
o
Nome de uma organização.
StringType
TAMANHO(1..64)
ou
Nome de uma unidade organizacional.
StringType
TAMANHO(1..64)
placeofbirth
RFC 3039 PlaceOfBirth que especifica o valor do local de nascimento.
DirectoryString
TAMANHO(1..128)
postaladdress
RFC 3039 PostalAddress, que inclui os tipos de atributo stateOrProvinceName e localityName , se presentes, para armazenar endereço e informações geográficas.
Sequência
TAMANHO (1..6) DE DIRECTORYSTRING(TAMANHO(1..30))
postalcode
postalCode atributo que especifica o código usado por um Serviço Postal para identificar a zona de serviço postal.
DirectoryString
TAMANHO(1..40)
pseudonym
RFC 3039 pseudonym atributo que especifica um pseudônimo, como apelidos e nomes com ortografia diferente do definido pelo nome registrado.
DirectoryString
TAMANHO(1..64)
serialnumber
Nome do número de série do dispositivo.
StringType
TAMANHO(1..64)
sn
Nome do número de série do dispositivo.
StringType
TAMANHO(1..64)
st
Nome do estado ou província.
StringType
TAMANHO(1..64)
street
Nome da rua.
StringType
TAMANHO(1..64)
surname
Atributos de nome do tipo X520name.
DirectoryString
TAMANHO(1..64)
t
Title atributo, que contém a posição ou função designada do sujeito dentro de uma organização.
DirectoryString
TAMANHO(1..64)
telephonenumber
id-at-telephoneNumber, que é um formato internacionalmente acordado para números de telefone internacionais.
PrintableString
TAMANHO (1..32)
uid
ID de usuário LDAP.
DirectoryString
uniqueidentifier
Identificador exclusivo de um objeto.
DirectoryString
unstructuredaddress
PKCS#9 atributo que especifica o endereço ou endereços de um assunto como uma string de diretório não estruturada.
DirectoryString
unstructuredname
PKCS#9 atributo que especifica o nome ou os nomes de um assunto como uma string ASCII não estruturada.
DirectoryString
TAMANHO(1..64)

Para mais informações sobre campos de Nome Distinto, consulte RFC 4514.

Por exemplo:

CN=Jane Doe,O=MongoDB,C=US
User Privileges

Você pode atribuir funções de uma das seguintes maneiras:

Para informações sobre os privilégios de Atlas embutidos, consulte Funções embutidas.

Para obter mais informações sobre autorização, consulte Controle de acesso baseado em funções e Funções incorporadas no manual MongoDB.

5

Clique Add User.

Voltar

Volume de trabalho (aplicativos)