Menu Docs
Página inicial do Docs
/
MongoDB Atlas
/ / /

Configurar autenticação federada a partir do Microsoft Entra ID

Nesta página

  • Acesso necessário
  • Pré-requisitos
  • Procedimentos
  • Adicionar usuários de domínio
  • Configurar o Microsoft Entra ID como um fornecedor de identidade
  • Adicionar Microsoft Entra ID como um fornecedor de identidade no Atlas
  • (Opcional) Mapear uma Organização
  • (Opcional) Configurar opções avançadas de autenticação federada
  • Conecte-se no Atlas usando seu URL de acesso

Este guia mostra como configurar a autenticação federada utilizando o Microsoft Entra ID como seu IdP.

Após integrar o Microsoft Entra ID e o Atlas, você poderá usar as credenciais da sua empresa para fazer login no Atlas e em outros serviços de nuvens do MongoDB.

Observação

O Atlas agora suporta SSO para usuários de banco de dados via autenticação e autorização com OIDC/OAuth 2.0.

Para gerenciar a autenticação federada, você deve ter acesso Organization Owner a uma ou mais organizações que estão delegando configurações de federação à instância.

Para utilizar o Microsoft Entra ID como um IdP para Atlas, você deve ter:

  • Uma assinatura do Azure. Para obter uma assinatura, visite o portal do Microsoft Azure.

  • Um locatário de Microsoft Entra ID associado à sua assinatura. Para obter informações sobre como configurar um locatário do Microsoft Entra ID, consulte a documentação do Microsoft Entra ID .

  • Pelo menos os privilégios Cloud App Administrator e User Administrator no seu locatário do Microsoft Entra ID.

  • Um nome de domínio personalizado e roteável.

Caso ainda não o tenha feito, use o console do Azure para adicionar seu nome de domínio personalizado ao Microsoft Entra ID e criar usuários:

1

Adicione seu nome de domínio personalizado ao Microsoft Entra ID para criar usuários que pertençam ao seu domínio. Após adicionar seu domínio, você também deve adicionar as informações de DNS do Microsoft Entra ID em um registro do TXT com seu provedor de DNS e verificar a configuração.

Para adicionar seu domínio personalizado ao Microsoft Entra ID,consulte a documentação do Azure.

2

Se ainda não existirem, crie usuários no Microsoft Entra ID aos quais você deseja conceder acesso. Os usuários devem pertencer ao domínio personalizado que você adicionou ao Microsoft Entra ID.

Para criar usuários do Microsoft Entra ID, consulte a documentação do Azure.

Use o console do Azure para configurar o Microsoft Entra ID como um SAML IdP. Você pode adicionar o aplicativo do MongoDB Cloud na galeria ou configurar um aplicativo manualmente.

1

Para adicionar o aplicativo MongoDB Cloud ao seu locatário do Microsoft Entra ID, consulte a documentação do Azure.

Dica

Veja também:

2

Atribua usuários ao aplicativo. Esses usuários terão acesso ao Atlas e a outros serviços de nuvem do MongoDB quando você concluir o tutorial.

Para atribuir usuários do Microsoft Entra ID a um aplicativo, consulte a documentação do Azure.

3

Para navegar até a página de configuração SAML, consulte a documentação do Azure.

4

Para gerar um certificado de assinatura SAML válido, você deve atribuir valores temporários a Identifier e Reply URL para seu aplicativo de empresa do Microsoft Entra ID. Se você baixar o certificado antes de definir esses valores, o certificado baixado não será exclusivo e você precisará baixá-lo novamente após definir esses valores.

Para definir os valores temporários:

  1. Clique em Edit na Seção 1.

  2. Remova qualquer valor padrão existente e defina os seguintes valores temporários:

    Contexto
    Valor temporário

    Identifier (Entity ID)

    https://www.okta.com/saml2/service-provider/MongoDBCloud

    Reply URL (Assertion Consumer Service URL).

    https://auth.mongodb.com/sso/saml2/

  3. Clique em Save.

  4. Atualize a página do navegador para garantir que o certificado seja gerado novamente.

    Após a primeira atualização do Identificador temporário e da URL de resposta, a impressão digital e a data de validade do certificado são alteradas.

5

Na seção SAML Signing Certificate, clique em Download ao lado de Certificate (Base64).

Este certificado de assinatura será carregado no MongoDB Federation Management Console mais tarde do tutorial.

6

Pule esta etapa se não usar o mapeamento de funções.

Para usar o mapeamento de roles, adicione a declaração de grupo abaixo ao token SAML que o Microsoft Entra ID envia para o Atlas:

  1. Clique em Add a group claim. O Azure exibe o painel Group Claims.

  2. Em Which groups associated with the user should be returned in the claim?, clique em Security groups.

    Quais grupos você seleciona dependem do tipo de grupos que você configurou em seu ambiente Azure. Talvez seja necessário selecionar um tipo diferente de grupo para enviar as informações apropriadas do grupo.

  3. No menu suspenso Source attribute, clique em Group Id.

    Se você selecionar Group Id, o Azure enviará o ID de objeto do grupo de segurança e não o nome do grupo legível por humanos. Dependendo do seu ambiente Azure, você pode ter a opção de selecionar um atributo de origem diferente que envie o nome do grupo.

    Ao criar mapeamentos de role no Atlas, corresponda exatamente os dados de grupo do Azure enviados na resposta SAML ao nome de mapeamento de função do Atlas configurado.

  4. Clique em Customize the name of the group claim na seção Advanced options.

  5. Configure Name como memberOf.

  6. Deixe Namespace em branco.

  7. Limpe Emit groups as role claims.

  8. Clique em Save.

7

Cole estes valores num editor de texto ou em outro local facilmente acessível.

Você insere esses valores no MongoDB Federation Management Console mais tarde no tutorial.

1

Dê ao aplicativo um nome descritivo, como MongoDB-Atlas.

Para adicionar um aplicativo que não seja da galeria ao Microsoft Entra ID, consulte a documentação do Azure.

2

Atribua usuários ao aplicativo. Esses usuários terão acesso ao Atlas e a outros serviços de nuvem do MongoDB quando você concluir o tutorial.

Para atribuir usuários do Microsoft Entra ID a um aplicativo, consulte a documentação do Azure.

3

Para navegar até a página de configuração SAML, consulte a documentação do Azure.

4

Para gerar um certificado de assinatura SAML válido, você deve atribuir valores temporários para Identifier e Reply URL para seu aplicativo de empresa do Microsoft Entra ID. Se você baixar o certificado antes de definir esses valores, o certificado baixado não será exclusivo e você precisará baixá-lo novamente após definir esses valores.

Para definir os valores temporários:

  1. Clique em Edit na Seção 1.

  2. Remova qualquer valor padrão existente e defina os seguintes valores temporários:

    Contexto
    Valor temporário

    Identifier (Entity ID)

    https://www.okta.com/saml2/service-provider/MongoDBCloud

    Reply URL (Assertion Consumer Service URL).

    https://auth.mongodb.com/sso/saml2/

  3. Clique em Save.

  4. Atualize a página do navegador para garantir que o certificado seja gerado novamente.

    Após a primeira atualização do Identificador temporário e da URL de resposta, a impressão digital e a data de validade do certificado são alteradas.

5

Para simplificar a configuração do SAML, você pode excluir o padrão Additional claims:

  1. Na seção User Attributes & Claims, clique no ícone Edit.

  2. Para cada reivindicação na seção Additional claims, expanda Context menu e clique em Delete.

6

Use os seguintes valores:

  • Choose name identifier format: Unspecified

  • Source: Attribute

  • Source attribute: user.userprincipalname

    Importante

    Selecionando o atributo de origem

    Dependendo da configuração do Active Directory, o atributo de origem que contém o endereço de e-mail completo de um usuário pode não ser user.userprincipalname. Use o atributo de origem que contém o endereço de e-mail que corresponde aos nomes de usuário dos usuários existentes do Atlas em seu domínio federado, como user.mail.

    Para usuários do Atlas existentes em seu domínio federado, selecione o atributo de origem que contém os nomes de usuário atuais do Atlas desses usuários.

Para editar a declaração obrigatória Unique User Identifier, consulte a documentação do Azure.

7

Adicione as seguintes declarações de usuário ao token SAML que o Microsoft Entra ID envia ao Atlas:

Importante

Os valores na coluna Nome diferenciam maiúsculas de minúsculas. Digite-os exatamente como mostrado.

Você deve deixar o campo Namespace vazio para todas as declarações de usuário.

Nome
Fonte
Atributo de origem

firstName

Atributo

user.givenname

lastName

Atributo

user.surname

Observação

Dependendo da configuração do Active Directory, os atributos de origem usados podem ser diferentes. Use os atributos de origem que contêm o nome e o sobrenome de um usuário para as declarações apropriadas.

Para adicionar declarações de usuário, consulte a documentação do Azure.

8

Pule esta etapa se não usar o mapeamento de funções.

Para usar o mapeamento de roles, adicione a declaração de grupo abaixo ao token SAML que o Microsoft Entra ID envia para o Atlas:

  1. Clique em Add a group claim. O Azure exibe o painel Group Claims.

  2. Em Which groups associated with the user should be returned in the claim?, clique em Security groups.

    Quais grupos você seleciona dependem do tipo de grupos que você configurou em seu ambiente Azure. Talvez seja necessário selecionar um tipo diferente de grupo para enviar as informações apropriadas do grupo.

  3. No menu suspenso Source attribute, clique em Group Id.

    Se você selecionar Group Id, o Azure enviará o ID de objeto do grupo de segurança e não o nome do grupo legível por humanos. Dependendo do seu ambiente Azure, você pode ter a opção de selecionar um atributo de origem diferente que envie o nome do grupo.

    Ao criar mapeamentos de role no Atlas, corresponda exatamente os dados de grupo do Azure enviados na resposta SAML ao nome de mapeamento de função do Atlas configurado.

  4. Clique em Customize the name of the group claim na seção Advanced options.

  5. Configure Name como memberOf.

  6. Deixe Namespace em branco.

  7. Limpe Emit groups as role claims.

  8. Clique em Save.

9

Para verificar se o certificado de assinatura SAML usa o algoritmo de assinatura SHA-256, consulte a documentação do Azure.

10

Na seção SAML Signing Certificate, clique em Download ao lado de Certificate (Base64).

Este certificado de assinatura será carregado no MongoDB Federation Management Console mais tarde do tutorial.

11

Cole estes valores num editor de texto ou em outro local facilmente acessível.

Você insere esses valores no MongoDB Federation Management Console mais tarde no tutorial.

Use o Federation Management Console e o console do Azure para adicionar o Microsoft Entra ID como um IdP:

1
  1. Se ainda não estiver exibido, selecione sua organização desejada no Menu Organizations na barra de navegação.

  2. Clique no ícone Organization Settings próximo ao menu Organizations.

    A página Configurações da organização é exibida.

2

Em Manage Federation Settings, clique em Open Federation Management App.

3
  1. Clique em Configure Identity Providers.

  2. Se você ainda não tiver nenhum provedor de identidade configurado, clique em Setup Identity Provider. Caso contrário, na tela Identity Providers, clique em Add Identity Provider.

  3. Insira ou selecione as seguintes configurações de protocolo SAML. Todos os campos são obrigatórios:

    Campo
    Descrição

    Configuration Name

    Nome descritivo, como Microsoft Entra ID.

    IdP Issuer URI

    Microsoft Entra ID Identifier você copiou do Azure anteriormente no tutorial.

    IdP Single Sign-On URL

    Login URL que você copiou do Azure anteriormente no tutorial.

    IdP Signature Certificate

    Base64certificado de assinatura SAML codificado que você baixou do Azure anteriormente no tutorial.

    Você também pode:

    • Carregue o certificado de seu computador ou

    • Cole o conteúdo do certificado em uma caixa de texto.

    Request Binding

    HTTP POST.

    Response Signature Algorithm

    SHA-256.

  4. Clique em Next.

4
  1. Clique em Download metadata. Carregue este arquivo para o Microsoft Entra ID no passo seguinte.

  2. Clique em Finish.

5

Para carregar o arquivo, consulte a captura de tela na etapa 3 de Habilitar logon único para uma aplicação na documentação do Azure . Clique Upload metadata file na página de configuração de SSO, conforme mostrado na captura de tela na documentação do Azure vinculada.

Opcionalmente, adicione uma URL RelayState ao seu IdP para enviar usuários para uma URL que você escolher e evitar redirecionamentos desnecessários após o login. Você pode usar:

Destino
URL do RelayState

MongoDB Atlas

Login URL gerado para a configuração do seu provedor de identidade no aplicativo de gerenciamento de federação do Atlas.

Portal de suporte do MongoDB

https://auth.mongodb.com/app/salesforce/exk1rw00vux0h1iFz297/sso/saml

MongoDB University

https://auth.mongodb.com/home/mongodb_thoughtindustriesstaging_1/0oadne22vtcdV5riC297/alndnea8d6SkOGXbS297

Fóruns da comunidade do MongoDB

https://auth.mongodb.com/home/mongodbexternal_communityforums_3/0oa3bqf5mlIQvkbmF297/aln3bqgadajdHoymn297

MongoDB feedback engine

https://auth.mongodb.com/home/mongodbexternal_uservoice_1/0oa27cs0zouYPwgj0297/aln27cvudlhBT7grX297

JIRA DO MONGODB

https://auth.mongodb.com/app/mongodbexternal_mongodbjira_1/exk1s832qkFO3Rqox297/sso/saml

O mapeamento do seu domínio para o IdP permite que o Atlas saiba que os usuários do seu domínio devem ser direcionados para o Login URL da configuração do seu provedor de identidade.

Quando os usuários visitam a página de login do Atlas, eles inserem seu endereço de e-mail. Se o domínio de e-mail estiver associado a um IdP, ele será enviado para o URL de login para esse IdP.

Importante

Você pode mapear um único domínio para vários provedores de identidade. Se você fizer isso, os usuários que fizerem login usando o console do MongoDB Cloud serão automaticamente redirecionados para o primeiro IdP correspondente mapeado para o domínio.

Para fazer login usando um provedor de identidade alternativo, os usuários devem:

  • Inicie o login do MongoDB Cloud por meio do IdP desejado ou

  • Faça login utilizando o Login URL associado ao IdP desejado.

Utilize o Federation Management Console para mapear seu domínio para o IdP:

1

Abra o FMC.

  1. No Atlas, acesse a página Organization Settings.

    1. Se ainda não estiver exibido, selecione sua organização desejada no Menu Organizations na barra de navegação.

    2. Clique no ícone Organization Settings próximo ao menu Organizations.

      A página Configurações da organização é exibida.

  2. Em Manage Federation Settings, clique em Open Federation Management App.

2

Insira informações de mapeamento de domínio.

  1. Clique em Add a Domain.

  2. Na tela Domains, clique em Add Domain.

  3. Insira as seguintes informações para o mapeamento do seu domínio:

    Campo
    Descrição

    Nome de exibição

    Etiqueta para identificar facilmente o domínio.

    Nome de domínio

    Nome de domínio para mapear.

  4. Clique em Next.

3

Escolha seu método de verificação de domínio.

Observação

Você pode escolher o método de verificação uma vez. Não pode ser modificado. Para selecionar um método de verificação diferente, exclua e recrie o mapeamento de domínio.

Selecione a guia apropriada com base no fato de estar verificando seu domínio fazendo upload de um arquivo HTML ou criando um registro DNS TXT:

Carregue um arquivo HTML com uma chave de verificação para atestar que o domínio é seu.

  1. Clique em HTML File Upload.

  2. Clique em Next.

  3. Baixe o arquivo mongodb-site-verification.html que o Atlas disponibiliza.

  4. Carregue o arquivo HTML em um site do seu domínio. Você precisa acessar o arquivo em <https://host.domain>/mongodb-site-verification.html.

  5. Clique em Finish.

Crie um registro DNS TXT com seu provedor de domínio para verificar se você é o proprietário do seu domínio. Cada registro DNS associa uma organização específica do Atlas a um domínio específico.

  1. Clique em DNS Record.

  2. Clique em Next.

  3. Copie o registro TXT fornecido. O registro TXT tem o seguinte formato:

    mongodb-site-verification=<32-character string>
  4. Faça login no seu provedor de nome de domínio (como GoDaddy.com ou networksolutions.com).

  5. Adicione o registro txt que o Atlas fornece ao seu domínio.

  6. Retorne ao Atlas e clique em Finish.

4

Verifique seu domínio.

A tela Domains exibe os domínios não verificados e verificados que você mapeou para o seu IdP. Para verificar seu domínio, clique no botão Verify do domínio de destino. O Atlas mostra se a verificação foi bem-sucedida em um banner na parte superior da tela.

Depois de verificar com êxito seu domínio, use o Federation Management Console para associar o domínio ao Microsoft Entra ID:

1

Clique em Identity Providers na navegação à esquerda.

2

Para o IdP que você deseja associar ao seu domínio, clique em Edit ao lado de Associated Domains.

3

Selecione o domínio que você deseja associar ao IdP.

4

Clique em Confirm.

Importante

Antes de começar a testar, copie e salve o URL do Modo Ignorar SAML para seu IdP. Use esse URL para ignorar a autenticação federada no caso de você ser bloqueado da sua organização Atlas.

Ao testar, mantenha sua sessão conectada ao Federation Management Console para garantir ainda mais contra bloqueios.

Para mais informações sobre Bypass SAML Mode, consulte Ignorar Modo SAML.

Use o Federation Management Console para testar a integração entre seu domínio e o Microsoft Entra ID:

1

Em uma janela privada do navegador, navegue até a página de acesso do Atlas.

2

Insira um nome de usuário (geralmente um endereço de e-mail) com seu domínio verificado.

Exemplo

Se o seu domínio verificado for mongodb.com, use um endereço de e-mail do formulário username@mongodb.com.

3

Clique em Next. Se você mapeou seu domínio corretamente, será redirecionado ao seu IdP para autenticação. Após a autenticação bem-sucedida, você será redirecionado de volta para o Atlas.

Observação

Você pode ignorar a página de conexão do Atlas navegando diretamente para seu IdP Login URL.

Utilize o Federation Management Console para atribuir aos usuários do seu domínio acesso a organizações específicas do Atlas:

1
  1. Se ainda não estiver exibido, selecione sua organização desejada no Menu Organizations na barra de navegação.

  2. Clique no ícone Organization Settings próximo ao menu Organizations.

    A página Configurações da organização é exibida.

2

Em Manage Federation Settings, clique em Open Federation Management App.

3
  1. Clique em View Organizations.

    O Atlas exibe todas as organizações onde você é um Organization Owner.

    As organizações que ainda não estão conectadas ao Aplicativo de Federação têm o botão Connect na coluna Actions.

  2. Clique no botão Connect da organização desejada.

4

Na tela Organizations do console de gerenciamento:

  1. Clique no Name da organização que você deseja mapear para um IdP.

  2. Na tela Identity Provider, clique em Apply Identity Provider.

    O Atlas direciona você para a tela Identity Providers, que mostra todos os IdPs que você vinculou ao Atlas.

  3. Para o IdP que você deseja aplicar na organização, clique em Add Organizations.

  4. No modal Apply Identity Provider to Organizations, selecione as organizações para as quais este IdP se aplica.

  5. Clique em Confirm.

5
  1. Clique em Organizations na navegação à esquerda.

  2. Na lista do Organizations, garanta que suas organizações desejadas agora tenham o Identity Provider esperado.

Você pode configurar as seguintes opções avançadas para autenticação federada para maior controle sobre seus usuários federados e fluxo de autenticação:

Observação

As seguintes opções avançadas para autenticação federada exigem que você mapeie uma organização.

Todos os usuários atribuídos ao aplicativo Azure podem fazer login no Atlas usando suas credenciais do Microsoft Entra ID no Login URL. Os usuários têm acesso às organizações mapeadas para seu IdP.

Importante

Você pode mapear um único domínio para vários provedores de identidade. Se você fizer isso, os usuários que fizerem login usando o console do MongoDB Cloud serão automaticamente redirecionados para o primeiro IdP correspondente mapeado para o domínio.

Para fazer login usando um provedor de identidade alternativo, os usuários devem:

  • Inicie o login do MongoDB Cloud por meio do IdP desejado ou

  • Faça login utilizando o Login URL associado ao IdP desejado.

Se você selecionou um role de organização padrão, os novos usuários que se conectam ao Atlas usando o Login URL terão o role que você especificou.

Voltar

Funções