Configurar autenticação X.509 autogerenciada

Nesta página

Considerações

Acesso necessário
Pré-requisitos
Configurar um projeto para usar uma infraestrutura de chave pública
Exibir ou modificar configurações de autenticação X.509 autogerenciadas
Adicionar um usuário de banco de dados usando a autenticação X.509 autogerenciada

Os certificados X.509 autogerenciados, também conhecidos como TLS mútuo ou mTLS, fornecem aos usuários de banco de dados acesso aos clusters em seu projeto. Os usuários de banco de dados são separados dos usuários do Atlas. Os usuários de banco de dados têm acesso aos bancos de dados MongoDB, enquanto os usuários Atlas têm acesso ao próprio aplicativo Atlas.

Considerações

Se você habilitar a autorização LDAP, não poderá se conectar aos seus clusters com usuários que se autenticam com um certificado X.509 gerenciado pelo Atlas.

Depois de ativar a autorizaçãoLDAP , você pode se conectar aos seus clusters com usuários que se autenticam com um certificado X.509 autogerenciado. No entanto, o nome comum do usuário em seu certificado X.509 deve corresponder ao nome distinto de um usuário autorizado a acessar seu banco de dados com LDAP.

É possível ter usuários que se autenticam com certificados autogerenciados e usuários que se autenticam com certificados X.509 gerenciados pelo Atlas no mesmo banco de dados.

Acesso necessário

Para gerenciar usuários do banco de dados, você deve ter acesso do Organization Owner ou Project Owner ao Atlas.

Pré-requisitos

Para usar certificados X.509 autogerenciados, você deve ter uma infraestrutura de chave pública para integrar ao MongoDB Atlas.

Configurar um projeto para usar uma infraestrutura de chave pública

No Atlas, VáGo para a Advanced página do seu projeto.

Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Advanced sob o título Security.
A páginaAvançado é exibida.

Ative a autenticação X.509 autogerenciada.

Alterne Self-Managed X.509 Authentication para ON.

Forneça uma autoridade de certificação codificada PEM.

Para salvar uma configuração X.509 gerenciada pelo cliente para o projeto que você especificar usando o Atlas CLI, execute o seguinte comando:

atlas security customerCerts create [options]

Para saber mais sobre a sintaxe e os parâmetros do comando, consulte a documentação do Atlas CLI para criar Atlas customerCerts de segurança.

Dica

Veja: links relacionados

Você pode fornecer uma Autoridade de Certificação (CA) usando a interface do usuário do Atlas:

Clicando em Upload , selecionando um .pem arquivo do seu sistema de arquivos e clicando em Save.
Copiar o conteúdo de um arquivo .pem na área de texto fornecida e clicar em Save.

Você pode concatenar várias CAs no mesmo arquivo .pem ou na área de texto. Os usuários podem autenticar com certificados gerados por qualquer uma das CAs fornecidas.

Quando você carrega uma CA, um alerta em nível de projeto é criado automaticamente para enviar uma notificação 30 dias antes da expiração da CA, repetindo a cada 24 horas. Você pode visualizar e editar este alerta na página Alert Settings do Atlas. Para obter mais informações sobre como configurar alertas, consulte Configurar configurações de alerta.

Exibir ou modificar configurações de autenticação X.509 autogerenciadas

Para retornar os detalhes de uma configuração X.509 gerenciada pelo cliente para o projeto que você especifica utilizando o Atlas CLI, execute o seguinte comando:

atlas security customerCerts describe [options]

Para desativar uma configuração X.509 gerenciada pelo cliente para o projeto que você especifica utilizando o Atlas CLI, execute o seguinte comando:

atlas security customerCerts disable [options]

Para saber mais sobre a sintaxe e parâmetros para os comandos anteriores, consulte a documentação do Atlas CLI para descrever Atlas customerCerts de segurança e desabilitar Atlas customerCerts de segurança.

Dica

Veja: links relacionados

Para visualizar ou editar sua CA usando a interface do usuário do Atlas, clique no ícone Self-Managed X.509 Authentication Settings.

Adicionar um usuário de banco de dados usando a autenticação X.509 autogerenciada

No Atlas, váGo para a Database Access página do seu projeto.

Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Database Access sob o título Security.
A página Acesso ao banco de dados é exibida.

Abra a caixa de diálogo Add New Database User.

Se ainda não estiver exibido, clique na aba Database Users.
Clique em Add New Database User.

Selecione CERTIFICATE.

Insira as informações do usuário.

Campo

Descrição

Distinguished Name

O Common Name (CN) do usuário e, opcionalmente, campos adicionais de Distinguished Name (RFC 4514) da tabela a seguir:

Nome	Descrição	Tipo	Tamanho (em MB)
`businesscategory`	`businessCategory` atributo que descreve os tipos de negócios realizados por uma organização.	DirectoryString	TAMANHO(1..128)
`c`	ISO de 3166 duas letras código do país.	StringType	TAMANHO(2)
`cn`	Nomes comuns de um objeto. Se o objeto corresponder a uma pessoa, normalmente é o nome completo da pessoa.	StringType	TAMANHO(1..64)
`countryofcitizenship`	RFC 3039 `CountryOfCitizenship` atributo que contém o identificador de pelo menos um país de cidadania. Aceita apenas códigos ISO 3166.	PrintableString	TAMANHO(2)
`countryofresidence`	RFC 3039 `CountryOfResidence` atributo que contém o valor de pelo menos um país. Aceita apenas códigos ISO 3166 .	PrintableString	TAMANHO(2)
`dateofbirth`	RFC 3039 `DateOfBirth` atributo, que especifica a data de nascimento do sujeito.	GeneralizedTime neste formato: `YYYYMMDD000000Z`.
`dc`	`domainComponent` tipo de atributo que contém um nome de domínio DNS.	StringType
`dn`	`dnQualifier` tipo de atributo que contém informações desambíguas para adicionar ao nome distinto relativo de uma entrada.	DirectoryString	TAMANHO(1..64)
`e`	Endereço de e-mail nos certificados Verisign.
`emailaddress`	`emailAddress` (extensão RSA PKCS#9 ) que especifica o endereço ou endereços de email como uma string ASCII não estruturada.	IA5String
`gender`	RFC 3039 `Gender` atributo que especifica o valor do gênero do assunto. Aceita `M`, `F`, `m` ou `f`.	PrintableString	TAMANHO(1)
`generation`	`generationQualifier` tipo de atributo que contém strings de nome que normalmente são a parte do sufixo do nome de uma pessoa.	DirectoryString	TAMANHO(1..64)
`givenname`	Strings de nomes que fazem parte do nome de uma pessoa que não é seu sobrenome.	DirectoryString	TAMANHO(1..64)
`initials`	Iniciais de alguns ou todos os nomes de um indivíduo, exceto os sobrenomes.	DirectoryString	TAMANHO(1..64)
`l`	`localityName` atributo que contém nomes de uma localidade ou local, como uma cidade, condado ou outra região geográfica.	StringType	TAMANHO(1..64)
`name`	(`id-at-name`) Supertipo de atributo a partir do qual os tipos de atributo de usuário com a sintaxe de nome herdam.	DirectoryString	TAMANHO(1..64)
`nameofbirth`	ISIS-MTT `NameAtBirth` atributo que especifica o nome de uma pessoa em seu nascimento.	DirectoryString	TAMANHO(1..64)
`o`	Nome de uma organização.	StringType	TAMANHO(1..64)
`ou`	Nome de uma unidade organizacional.	StringType	TAMANHO(1..64)
`placeofbirth`	RFC 3039 `PlaceOfBirth` que especifica o valor do local de nascimento.	DirectoryString	TAMANHO(1..128)
`postaladdress`	RFC 3039 `PostalAddress`, que inclui os tipos de atributo `stateOrProvinceName` e `localityName`, se presentes, para armazenar endereço e informações geográficas.	Sequência	TAMANHO (1..6) DE DIRECTORYSTRING(TAMANHO(1..30))
`postalcode`	`postalCode` atributo que especifica o código usado por um Serviço Postal para identificar a zona de serviço postal.	DirectoryString	TAMANHO(1..40)
`pseudonym`	RFC 3039 `pseudonym` atributo que especifica um pseudônimo, como apelidos e nomes com ortografia diferente do definido pelo nome registrado.	DirectoryString	TAMANHO(1..64)
`serialnumber`	Nome do número de série do dispositivo.	StringType	TAMANHO(1..64)
`sn`	Nome do número de série do dispositivo.	StringType	TAMANHO(1..64)
`st`	Nome do estado ou província.	StringType	TAMANHO(1..64)
`street`	Nome da rua.	StringType	TAMANHO(1..64)
`surname`	Atributos de nome do tipo X520name.	DirectoryString	TAMANHO(1..64)
`t`	`Title` atributo, que contém a posição ou função designada do sujeito dentro de uma organização.	DirectoryString	TAMANHO(1..64)
`telephonenumber`	`id-at-telephoneNumber`, que é um formato internacionalmente acordado para números de telefone internacionais.	PrintableString	TAMANHO (1..32)
`uid`	ID de usuário LDAP.	DirectoryString
`uniqueidentifier`	Identificador exclusivo de um objeto.	DirectoryString
`unstructuredaddress`	PKCS#9 atributo que especifica o endereço ou endereços de um assunto como uma string de diretório não estruturada.	DirectoryString
`unstructuredname`	Atributo PKCS#9 que especifica o nome ou os nomes de um assunto como uma string ASCII não estruturada.	DirectoryString	TAMANHO(1..64)

Para mais informações sobre campos de Nome Distinto, consulte RFC 4514.

Por exemplo:

CN=Jane Doe,O=MongoDB,C=US

User Privileges

Você pode atribuir funções de uma das seguintes maneiras:

Selecione Atlas admin, que fornece ao usuário readWriteAnyDatabase, além de vários privilégios administrativos.
Selecione Read and write to any database, que fornece ao usuário privilégios para ler e gravar em qualquer banco de dados.
Selecione Only read any database que fornece ao usuário privilégios para ler qualquer banco de dados.
Selecione Select Custom Role para selecionar um papel personalizado criado anteriormente no Atlas. É possível criar funções personalizadas para os usuários do banco de dados nos casos em que as funções de usuário do banco de dados incorporadas não conseguem descrever o conjunto de privilégios desejado. Para obter mais informações sobre funções personalizadas, consulte Configurar funções personalizadas de banco de dados.

Clique em Add Default Privileges. Ao clicar nesta opção, você pode selecionar papéis individuais e especificar o banco de dados no qual os papéis se aplicam. Opcionalmente, para os papéis do read e readWrite, você também pode especificar uma coleção. Se você não especificar uma coleção para read e readWrite, a função se aplicará a todas as coleções nãosystem no banco de dados.

A tabela a seguir descreve os privilégios específicos do Atlas, o banco de dados ao qual se aplicam e as ação que representam.

Privilégio específico Atlas	Database	Ações privilegiadas
`backup`	`admin`	`listDatabases` `listCollections` `listIndexes` `appendOplogNote` `getParameter` `serverStatus`
`clusterMonitor`	`admin`	`connPoolStats` `getCmdLineOpts` `getDefaultRWConcern` `getLog` `getParameter` `getShardMap` `hostInfo` `inprog` `listDatabases` `listSessions` `listShards` `replSetGetConfig` `replSetGetStatus` `serverStatus` `shardingState` `top`
`dbAdmin`	Usuário configurado	`bypassDocumentValidation` `changeStream` `collMod` `collStats` `compact` `convertToCapped` `createCollection` `createIndex` `createSearchIndex` `dbHash` `dbStats` `dropCollection` `dropDatabase` `dropIndex` `dropSearchIndex` `enableProfiler` `find` `killCursors` `listCollections` `listIndexes` `listSearchIndexes` `planCacheIndexFilter` `planCacheRead` `planCacheWrite` `reIndex` `renameCollectionSameDB` `storageDetails` `updateSearchIndex` `validate`
`dbAdminAnyDatabase`	Usuário configurado, exceto `local` e `config`	`dbAdminAnyDatabase`
`enableSharding`		`enableSharding`
`read`	Usuário configurado	`changeStream` `collStats` `dbHash` `dbStats` `find` `killCursors` `listIndexes` `listCollections` `listSearchIndexes`
`readWrite`	Usuário configurado	`changeStream` `collStats` `convertToCapped` `createCollection` `createSearchIndex` `dbHash` `dbStats` `dropCollection` `createIndex` `dropIndex` `dropSearchIndex` `find` `insert` `killCursors` `listIndexes` `listCollections` `listSearchIndexes` `remove` `renameCollectionSameDB` `update`
`killOpSession`	Usuário configurado	`inprog` `killop` `killAnySession` `killCursors` `listSessions`
`readWriteAnyDatabase`	Usuário configurado, exceto `local` e `config`	`readWriteAnyDatabase` `changeStream` `collStats` `convertToCapped` `createCollection` `createSearchIndex` `dbHash` `dbStats` `dropCollection` `dropSearchIndex` `createIndex` `dropIndex` `find` `insert` `killCursors` `listIndexes` `listCollections` `listDatabases` `listSearchIndexes` `remove` `renameCollectionSameDB` `update`
`readAnyDatabase`	Usuário configurado, exceto `local` e `config`	`readAnyDatabase` `changeStream` `collStats` `dbHash` `dbStats` `find` `killCursors` `listIndexes` `listCollections` `listDatabases` `listSearchIndexes`

Para informações sobre os privilégios de Atlas embutidos, consulte Funções embutidas.

Para obter mais informações sobre autorização, consulte Controle de acesso baseado em funções e Funções integradas no manual do MongoDB.

Clique em Add User.

Voltar

Volume de trabalho (aplicativos)

Criptografia em descanso

Considerações

Acesso necessário

Pré-requisitos

Configurar um projeto para usar uma infraestrutura de chave pública

No Atlas, VáGo para a .css-h15tq0{font-style:normal;font-weight:700;}Advanced página do seu projeto.

Ative a autenticação X.509 autogerenciada.

Forneça uma autoridade de certificação codificada PEM.

Dica

Veja: links relacionados

Exibir ou modificar configurações de autenticação X.509 autogerenciadas

Dica

Veja: links relacionados

Adicionar um usuário de banco de dados usando a autenticação X.509 autogerenciada

No Atlas, váGo para a Database Access página do seu projeto.

Abra a caixa de diálogo Add New Database User.

Selecione CERTIFICATE.

Insira as informações do usuário.

Clique em Add User.

No Atlas, VáGo para a Advanced página do seu projeto.