Menu Docs
Página inicial do Docs
/
MongoDB Atlas
/
Configure o acesso à IU
/
Autenticação
/
Federado

Gerenciar provedores de identidade

Nesta página

  • Acesso necessário
  • Procedimento
  • Configurar um aplicativo de provedor de identidade externo
  • Aplicar seu fornecedor de identidade no Atlas
  • Configure seu fornecedor de identidade com os metadados do Atlas
  • Próximos passos

A autenticação federada do MongoDB vincula suas credenciais nos sistemas do MongoDB, como Suporte do MongoDB, MongoDB University, MongoDB Atlas, MongoDB Cloud Manager, Fóruns da MongoDB Community e Feedback do MongoDB. O Atlas implementa a autenticação utilizando o modelo de gerenciamento de identidade federada.

Usar o modelo FIM:

  • Sua empresa gerencia suas credenciais usando um fornecedor de identidade (IdP). Com o IdP dela, a sua empresa pode permitir a sua autenticação em outros serviços na web.

  • Você configura o MongoDB Atlas para autenticação com os dados passados pelo seu IdP.

Isso vai além do SSO, pois seu IdP gerencia suas credenciais, não o MongoDB. Seus usuários podem utilizar o Atlas sem ter que lembrar de outro nome de usuário e senha.

Importante

Enquanto houver um IdP federado habilitado, o Atlas desabilita todos os outros mecanismos de autenticação.

O procedimento a seguir orienta como vincular um IdP do SAML ao Atlas.

Acesso necessário

Para gerenciar a autenticação federada, você deve ter acesso de Organization Owner a uma ou mais organizações que delegam configurações de federação à instância.

Procedimento

Importante

Configuração de dois estágios

Dependendo do seu fornecedor de identidade, pode ser aplicada uma lógica circular no vínculo a um fornecedor de serviços como o Atlas. Para vincular seu IdP ao Atlas:

  • Seu IdP precisa dos valores do Atlas e

  • O Atlas precisa de valores do seu IdP.

Para simplificar a configuração, o Atlas solicita que você insira valores de espaço reservado para as configurações do IdP e do Atlas. Você substituirá esses valores posteriormente no procedimento.

Configurar um aplicativo de provedor de identidade externo

Para configurar a autenticação federada, é necessário ter um aplicativo SAML IdP externo. No SAML IdP, execute o seguinte:

  1. Criar um novo aplicativo para o Atlas.

  2. Configurar os primeiros valores do SAML para o novo aplicativo:

    1. Definir valores de espaço reservado para os seguintes campos:

      • SP Entity ID or Issuer

      • Audience URI

      • Assertion Consumer Service (ACS) URL

    2. Definir valores válidos para os seguintes campos:

      Campo
      Valor
      Signature Algorithm

      Algoritmo usado para criptografar a assinatura do IdP. O Atlas aceita os seguintes valores de algoritmo de assinatura:

      • SHA-1

      • SHA-256

      Name ID

      Endereço de e-mail válido.

      IMPORTANTE: Name ID é seu endereço de e-mail e nome de usuário.

      Name ID Format

      • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

      • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

    3. Criar atributos com os seguintes Nomes de Atributo para os seguintes Valores de Atributo SAML:

      Nome do atributo SAML
      Valor de atributo SAML
      firstName
      Nome
      lastName
      Sobrenome
      memberOf
      Grupos de usuários

      Observação

      Os nomes desses atributos diferenciam maiúsculas de minúsculas. Digiteos nomes dos atributos conforme mostrado em camelCase.

    4. Salve esses valores.

Quando tiver concluído a configuração inicial do seu aplicativo IdP, vincule o IdP ao Atlas para federar os acessos dos seus usuários.

Aplicar seu fornecedor de identidade no Atlas

Observação

Pré-requisitos

Este procedimento pressupõe que você já tem um IdP externo. Para saber como configurar um IdP, consulte Configurar um aplicativo de provedor de identidade externo.

Você pode configurar a autenticação federada no Atlas no Federation Management Console. Use este console para:

  • Configure o Identity Providers para autenticar usuários pertencentes a organizações especificadas.

  • Conecte o Atlas Organizations ao seu IdP.

  • Verifique e associe o Domains com seu IdP para forçar os usuários a autenticar utilizando este IdP.

Abra o Console de gerenciamento

1
No Atlas, acesse a Organization Settings página.

  1. Se ainda não estiver exibido, selecione sua organização desejada no Menu Organizations na barra de navegação.

  2. Clique no ícone Organization Settings próximo ao menu Organizations.

    A página Configurações da organização é exibida.

2
Navegue até o aplicativo de gerenciamento da federação.

Na seção Setup Federated Login ou Manage Federation Settings, clique em Visit Federation Management App.

No Console de gerenciamento:

  1. Clique em Configure Identity Providers.

  2. Se você ainda não tiver nenhum provedor de identidade configurado, clique em Setup Identity Provider. Caso contrário, na tela Identity Providers, clique em Add Identity Provider.

  3. Insira ou selecione as seguintes configurações do protocolo SAML.

    Campo
    necessidade
    Descrição
    Configuration Name
    Obrigatório
    Etiqueta legível por humanos que identifica esta configuração.
    Configuration Description
    Opcional
    Etiqueta legível por humanos que descreve esta configuração.
    IdP Issuer URI
    Obrigatório

    Identificador para o emissor da Asserção SAML.

    Especifique um valor de espaço reservado para este campo. Pegue o valor real deste campo pelo seu IdP quando tiver colocado nele os metadados do Atlas.

    IdP Single Sign-On URL
    Obrigatório

    URL do receptor do AuthNRequest SAML.

    Especifique um valor de espaço reservado para este campo. Pegue o valor real deste campo pelo seu IdP quando tiver colocado nele os metadados do Atlas.

    IdP Signature Certificate
    Obrigatório

    Certificado de chave pública codificado em PEM do IdP. Esse valor está disponível no seu IdP.

    Você também pode:

    • Carregue o certificado de seu computador ou

    • Cole o conteúdo do certificado em uma caixa de texto.

    Request Binding
    Obrigatório

    Vinculação do protocolo de solicitação de autenticação do SAML usado para enviar o AuthNRequest. Pode ser um dos seguintes:

    • HTTP POST

    • HTTP REDIRECT

    Response Signature Algorithm
    Obrigatório

    Algoritmo de resposta usado para assinar o SAML AuthnRequest. Pode ser um dos seguintes:

    • SHA-256

    • SHA-1

  4. Clique em Next.

Configure seu fornecedor de identidade com os metadados do Atlas

Após configurar seu IdP no Atlas, você pode disponibilizar os metadados necessários do Atlas ao seu IdP.

  1. Na tela Identity Provider no Atlas, clique em Download metadata para baixar os metadados exigidos pelo seu IdP. O Atlas disponibiliza os dados como um arquivo .xml.

    Imagem mostrando como baixar metadados

    Observação

    O Atlas fornece Assertion Consumer Service URL e Audience URI se você quiser copiar e salvar manualmente esses valores. Esses valores estão disponíveis nas transferências de metadados.

    Observação

    O modelo de confiança do SAML exige a troca de certificados por canais confiáveis durante a configuração e não exige certificados assinados por uma autoridade certificadora. Durante a autenticação federada, todo o tráfego entre o MongoDB Atlas e o navegador são executadas através do TLS utilizando um certificado assinado por uma autoridade certificadora. Portanto, o metadata.xml fornece somente um certificado autoassinado para a assinatura de solicitações e validação de assinaturas.

  2. Envie os metadados para o seu IdP.

    Agora você tem as informações necessárias para substituir o IdP Issuer URI de espaço reservado e os valores de IdP Single Sign-On URL definidos quando você configura o mapeamento IdP inicial no Atlas.

  3. No Atlas, modifique os valores de espaço reservado definidos para IdP Issuer URI e IdP Single Sign-On URL para o IdP vinculado com os valores apropriados do seu IdP.

  4. Opcionalmente, adicione uma URL RelayState ao seu IdP para enviar usuários para uma URL que você escolher e evitar redirecionamentos desnecessários após o login. Você pode usar:

    Destino
    URL do RelayState
    MongoDB Atlas
    Login URL gerado para a configuração do seu provedor de identidade no aplicativo de gerenciamento de federação do Atlas.
    Portal de suporte do MongoDB
    https://auth.mongodb.com/app/salesforce/exk1rw00vux0h1iFz297/sso/saml
    MongoDB University
    https://auth.mongodb.com/home/mongodb_thoughtindustriesstaging_1/0oadne22vtcdV5riC297/alndnea8d6SkOGXbS297
    Fóruns da comunidade do MongoDB
    https://auth.mongodb.com/home/mongodbexternal_communityforums_3/0oa3bqf5mlIQvkbmF297/aln3bqgadajdHoymn297
    MongoDB feedback engine
    https://auth.mongodb.com/home/mongodbexternal_uservoice_1/0oa27cs0zouYPwgj0297/aln27cvudlhBT7grX297
    JIRA DO MONGODB
    https://auth.mongodb.com/app/mongodbexternal_mongodbjira_1/exk1s832qkFO3Rqox297/sso/saml

  5. Retorne ao Atlas e clique em Finish.

Importante

Após vincular seu IdP ao Atlas, ele aparecerá como Inactive no Federation Management Console até você mapear pelo menos um domínio para o IdP.

Próximos passos

Depois de vincular com êxito seu IdP ao Atlas, você deve mapear um ou mais domínios para seu provedor de identidade. O Atlas autentica os usuários desses domínios através do seu IdP.

Voltar

Federado

Próximo

Domains