Menu Docs
Página inicial do Docs
/
MongoDB Atlas
/ /

Configurar autenticação X.509 autogerenciada

Nesta página

  • Considerações
  • Acesso necessário
  • Pré-requisitos
  • Configurar um projeto para usar uma infraestrutura de chave pública
  • Exibir ou modificar configurações de autenticação X.509 autogerenciadas
  • Adicionar um usuário de banco de dados usando a autenticação X.509 autogerenciada

Os certificados X.509 autogerenciados, também conhecidos como TLS mútuo ou mTLS, fornecem aos usuários de banco de dados acesso aos clusters em seu projeto. Os usuários de banco de dados são separados dos usuários do Atlas. Os usuários de banco de dados têm acesso aos bancos de dados MongoDB, enquanto os usuários Atlas têm acesso ao próprio aplicativo Atlas.

Se você habilitar a autorização LDAP, não poderá se conectar aos seus clusters com usuários que se autenticam com um certificado X.509 gerenciado pelo Atlas.

Depois de ativar a autorizaçãoLDAP , você pode se conectar aos seus clusters com usuários que se autenticam com um certificado X.509 autogerenciado. No entanto, o nome comum do usuário em seu certificado X.509 deve corresponder ao nome distinto de um usuário autorizado a acessar seu banco de dados com LDAP.

É possível ter usuários que se autenticam com certificados autogerenciados e usuários que se autenticam com certificados X.509 gerenciados pelo Atlas no mesmo banco de dados.

Para gerenciar usuários do banco de dados, você deve ter acesso do Organization Owner ou Project Owner ao Atlas.

Para usar certificados X.509 autogerenciados, você deve ter uma infraestrutura de chave pública para integrar ao MongoDB Atlas.

1
  1. Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.

  3. Na barra lateral, clique em Advanced sob o título Security.

    A páginaAvançado é exibida.

2

Alterne Self-Managed X.509 Authentication para ON.

3

Para salvar uma configuração X.509 gerenciada pelo cliente para o projeto que você especificar usando o Atlas CLI, execute o seguinte comando:

atlas security customerCerts create [options]

Para saber mais sobre a sintaxe e os parâmetros do comando, consulte a documentação do Atlas CLI para criar Atlas customerCerts de segurança.

Dica

Veja: links relacionados

Você pode fornecer uma Autoridade de Certificação (CA) usando a interface do usuário do Atlas:

  • Clicando em Upload , selecionando um .pem arquivo do seu sistema de arquivos e clicando em Save.

  • Copiar o conteúdo de um arquivo .pem na área de texto fornecida e clicar em Save.

Você pode concatenar várias CAs no mesmo arquivo .pem ou na área de texto. Os usuários podem autenticar com certificados gerados por qualquer uma das CAs fornecidas.

Quando você carrega uma CA, um alerta em nível de projeto é criado automaticamente para enviar uma notificação 30 dias antes da expiração da CA, repetindo a cada 24 horas. Você pode visualizar e editar este alerta na página Alert Settings do Atlas. Para obter mais informações sobre como configurar alertas, consulte Configurar configurações de alerta.

Para retornar os detalhes de uma configuração X.509 gerenciada pelo cliente para o projeto que você especifica utilizando o Atlas CLI, execute o seguinte comando:

atlas security customerCerts describe [options]

Para desativar uma configuração X.509 gerenciada pelo cliente para o projeto que você especifica utilizando o Atlas CLI, execute o seguinte comando:

atlas security customerCerts disable [options]

Para saber mais sobre a sintaxe e parâmetros para os comandos anteriores, consulte a documentação do Atlas CLI para descrever Atlas customerCerts de segurança e desabilitar Atlas customerCerts de segurança.

Dica

Veja: links relacionados

Para visualizar ou editar sua CA usando a interface do usuário do Atlas, clique no ícone Self-Managed X.509 Authentication Settings.

1
  1. Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.

  3. Na barra lateral, clique em Database Access sob o título Security.

    A página Acesso ao banco de dados é exibida.

2
  1. Se ainda não estiver exibido, clique na aba Database Users.

  2. Clique em Add New Database User.

3
4
Campo
Descrição

Distinguished Name

O Common Name (CN) do usuário e, opcionalmente, campos adicionais de Distinguished Name (RFC 4514) da tabela a seguir:

Nome
Descrição
Tipo
Tamanho (em MB)

businesscategory

businessCategory atributo que descreve os tipos de negócios realizados por uma organização.

DirectoryString

TAMANHO(1..128)

c

ISO de 3166 duas letras código do país.

StringType

TAMANHO(2)

cn

Nomes comuns de um objeto. Se o objeto corresponder a uma pessoa, normalmente é o nome completo da pessoa.

StringType

TAMANHO(1..64)

countryofcitizenship

RFC 3039 CountryOfCitizenship atributo que contém o identificador de pelo menos um país de cidadania. Aceita apenas códigos ISO 3166.

PrintableString

TAMANHO(2)

countryofresidence

RFC 3039 CountryOfResidence atributo que contém o valor de pelo menos um país. Aceita apenas códigos ISO 3166 .

PrintableString

TAMANHO(2)

dateofbirth

RFC 3039 DateOfBirth atributo, que especifica a data de nascimento do sujeito.

GeneralizedTime neste formato: YYYYMMDD000000Z.

dc

domainComponent tipo de atributo que contém um nome de domínio DNS.

StringType

dn

dnQualifier tipo de atributo que contém informações desambíguas para adicionar ao nome distinto relativo de uma entrada.

DirectoryString

TAMANHO(1..64)

e

Endereço de e-mail nos certificados Verisign.

emailaddress

emailAddress (extensão RSA PKCS#9 ) que especifica o endereço ou endereços de email como uma string ASCII não estruturada.

IA5String

gender

RFC 3039 Gender atributo que especifica o valor do gênero do assunto. Aceita M, F, m ou f.

PrintableString

TAMANHO(1)

generation

generationQualifier tipo de atributo que contém strings de nome que normalmente são a parte do sufixo do nome de uma pessoa.

DirectoryString

TAMANHO(1..64)

givenname

Strings de nomes que fazem parte do nome de uma pessoa que não é seu sobrenome.

DirectoryString

TAMANHO(1..64)

initials

Iniciais de alguns ou todos os nomes de um indivíduo, exceto os sobrenomes.

DirectoryString

TAMANHO(1..64)

l

localityName atributo que contém nomes de uma localidade ou local, como uma cidade, condado ou outra região geográfica.

StringType

TAMANHO(1..64)

name

(id-at-name) Supertipo de atributo a partir do qual os tipos de atributo de usuário com a sintaxe de nome herdam.

DirectoryString

TAMANHO(1..64)

nameofbirth

ISIS-MTT NameAtBirth atributo que especifica o nome de uma pessoa em seu nascimento.

DirectoryString

TAMANHO(1..64)

o

Nome de uma organização.

StringType

TAMANHO(1..64)

ou

Nome de uma unidade organizacional.

StringType

TAMANHO(1..64)

placeofbirth

RFC 3039 PlaceOfBirth que especifica o valor do local de nascimento.

DirectoryString

TAMANHO(1..128)

postaladdress

RFC 3039 PostalAddress, que inclui os tipos de atributo stateOrProvinceName e localityName, se presentes, para armazenar endereço e informações geográficas.

Sequência

TAMANHO (1..6) DE DIRECTORYSTRING(TAMANHO(1..30))

postalcode

postalCode atributo que especifica o código usado por um Serviço Postal para identificar a zona de serviço postal.

DirectoryString

TAMANHO(1..40)

pseudonym

RFC 3039 pseudonym atributo que especifica um pseudônimo, como apelidos e nomes com ortografia diferente do definido pelo nome registrado.

DirectoryString

TAMANHO(1..64)

serialnumber

Nome do número de série do dispositivo.

StringType

TAMANHO(1..64)

sn

Nome do número de série do dispositivo.

StringType

TAMANHO(1..64)

st

Nome do estado ou província.

StringType

TAMANHO(1..64)

street

Nome da rua.

StringType

TAMANHO(1..64)

surname

Atributos de nome do tipo X520name.

DirectoryString

TAMANHO(1..64)

t

Title atributo, que contém a posição ou função designada do sujeito dentro de uma organização.

DirectoryString

TAMANHO(1..64)

telephonenumber

id-at-telephoneNumber, que é um formato internacionalmente acordado para números de telefone internacionais.

PrintableString

TAMANHO (1..32)

uid

ID de usuário LDAP.

DirectoryString

uniqueidentifier

Identificador exclusivo de um objeto.

DirectoryString

unstructuredaddress

PKCS#9 atributo que especifica o endereço ou endereços de um assunto como uma string de diretório não estruturada.

DirectoryString

unstructuredname

Atributo PKCS#9 que especifica o nome ou os nomes de um assunto como uma string ASCII não estruturada.

DirectoryString

TAMANHO(1..64)

Para mais informações sobre campos de Nome Distinto, consulte RFC 4514.

Por exemplo:

CN=Jane Doe,O=MongoDB,C=US

User Privileges

Você pode atribuir funções de uma das seguintes maneiras:

Para informações sobre os privilégios de Atlas embutidos, consulte Funções embutidas.

Para obter mais informações sobre autorização, consulte Controle de acesso baseado em funções e Funções integradas no manual do MongoDB.

5

Voltar

Volume de trabalho (aplicativos)