Configurar autenticação X.509 autogerenciada
Nesta página
Os certificados X.509 autogerenciados, também conhecidos como TLS mútuo ou mTLS, fornecem aos usuários de banco de dados acesso aos clusters em seu projeto. Os usuários de banco de dados são separados dos usuários do Atlas. Os usuários de banco de dados têm acesso aos bancos de dados MongoDB, enquanto os usuários Atlas têm acesso ao próprio aplicativo Atlas.
Considerações
Se você habilitar a autorização LDAP, não poderá se conectar aos seus clusters com usuários que se autenticam com um certificado X.509 gerenciado pelo Atlas.
Depois de ativar a autorizaçãoLDAP , você pode se conectar aos seus clusters com usuários que se autenticam com um certificado X.509 autogerenciado. No entanto, o nome comum do usuário em seu certificado X.509 deve corresponder ao nome distinto de um usuário autorizado a acessar seu banco de dados com LDAP.
É possível ter usuários que se autenticam com certificados autogerenciados e usuários que se autenticam com certificados X.509 gerenciados pelo Atlas no mesmo banco de dados.
Acesso necessário
Para gerenciar usuários do banco de dados, você deve ter acesso do Organization Owner
ou Project Owner
ao Atlas.
Pré-requisitos
Para usar certificados X.509 autogerenciados, você deve ter uma infraestrutura de chave pública para integrar ao MongoDB Atlas.
Configurar um projeto para usar uma infraestrutura de chave pública
No Atlas, VáGo para a Advanced página do seu projeto.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Advanced sob o título Security.
A páginaAvançado é exibida.
Forneça uma autoridade de certificação codificada PEM.
Para salvar uma configuração X.509 gerenciada pelo cliente para o projeto que você especificar usando o Atlas CLI, execute o seguinte comando:
atlas security customerCerts create [options]
Para saber mais sobre a sintaxe e os parâmetros do comando, consulte a documentação do Atlas CLI para criar Atlas customerCerts de segurança.
Você pode fornecer uma Autoridade de Certificação (CA) usando a interface do usuário do Atlas:
Clicando em Upload , selecionando um
.pem
arquivo do seu sistema de arquivos e clicando em Save.Copiar o conteúdo de um arquivo
.pem
na área de texto fornecida e clicar em Save.
Você pode concatenar várias CAs no mesmo arquivo .pem
ou na área de texto. Os usuários podem autenticar com certificados gerados por qualquer uma das CAs fornecidas.
Quando você carrega uma CA, um alerta em nível de projeto é criado automaticamente para enviar uma notificação 30 dias antes da expiração da CA, repetindo a cada 24 horas. Você pode visualizar e editar este alerta na página Alert Settings do Atlas. Para obter mais informações sobre como configurar alertas, consulte Configurar configurações de alerta.
Exibir ou modificar configurações de autenticação X.509 autogerenciadas
Para retornar os detalhes de uma configuração X.509 gerenciada pelo cliente para o projeto que você especifica utilizando o Atlas CLI, execute o seguinte comando:
atlas security customerCerts describe [options]
Para desativar uma configuração X.509 gerenciada pelo cliente para o projeto que você especifica utilizando o Atlas CLI, execute o seguinte comando:
atlas security customerCerts disable [options]
Para saber mais sobre a sintaxe e parâmetros para os comandos anteriores, consulte a documentação do Atlas CLI para descrever Atlas customerCerts de segurança e desabilitar Atlas customerCerts de segurança.
Para visualizar ou editar sua CA usando a interface do usuário do Atlas, clique no ícone Self-Managed X.509 Authentication Settings.
Adicionar um usuário de banco de dados usando a autenticação X.509 autogerenciada
No Atlas, váGo para a Database Access página do seu projeto.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Database Access sob o título Security.
A página Acesso ao banco de dados é exibida.
Insira as informações do usuário.
Campo | Descrição | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Distinguished Name | O Common Name (CN) do usuário e, opcionalmente, campos adicionais de Distinguished Name (RFC 4514) da tabela a seguir:
Para mais informações sobre campos de Nome Distinto, consulte RFC 4514. Por exemplo:
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
User Privileges | Você pode atribuir funções de uma das seguintes maneiras:
Para informações sobre os privilégios de Atlas embutidos, consulte Funções embutidas. Para obter mais informações sobre autorização, consulte Controle de acesso baseado em funções e Funções integradas no manual do MongoDB. |