Configurar Federação de Identidade da Força de Trabalho com a OIDC

Registre um novo aplicativo para Atlas.

Selecione public client/native application como o tipo de cliente .

Defina o Redirect URL valor como http://localhost:27097/redirect.

(Condicional) Adicione ou habilite uma groups declaração se você autenticar com grupos.

Para grupos, esta etapa garante que seus tokens de acesso contenham as informações de associação de grupo do usuário que está autenticando. O MongoDB usa os valores enviados em uma reivindicação de grupos para autorização.

(Opcional) Permita tokens de atualização se quiser que os clientes do MongoDB atualizem os tokens para uma melhor experiência do usuário.

(Opcional) Configure a duração do token de acesso (exp reivindicação) para alinhar com o tempo da sessão de conexão do banco de dados.

Registre um aplicativo.

1. Navegue até App registrations.

   1. Em seu portal do Azure conta, pesquise e clique Microsoft Entra ID em .

   2. Na seção Manage da navegação à esquerda, clique em App registrations.

2. Clique em New registration.

3. Aplique os seguintes valores.

   Campo	Valor
   Name	Atlas Database - Workforce
   Supported Account Types	Accounts in this organizational directory only (single tenant)
   Redirect URI	- Public client/native (mobile & desktop) - http://localhost:27097/redirect

4. Clique em Register.

Para saber mais sobre como registrar um aplicativo, consulte Documentação do Azure.

Adicione uma reivindicação de grupo.

1. Navegue até Token Configuration.

   Na seção Manage da navegação à esquerda, clique em Token Configuration.

2. Clique em Add groups claim.

3. No modal Edit groups claim, selecione Security.

   Quais grupos você seleciona dependem do tipo de grupos que você configurou em seu ambiente Azure. Talvez seja necessário selecionar um tipo diferente de grupo para enviar as informações apropriadas do grupo.

4. Na seção Customize token properties by type , selecione apenas Group ID.

5. Clique em Add.

Para saber mais sobre como adicionar uma declaração de grupo, consulte Documentação do Azure.

Adicione uma reivindicação de identificador de usuário ao token de acesso.

1. Clique em Add optional claim.

2. No modal Add optional claim, selecione Access.

3. Selecione uma declaração que contenha um identificador de usuário que você possa consultar nos registros de acesso do MongoDB, como um e-mail.

   Você pode usar a declaração UPN para identificar os usuários com seus endereços de e-mail.

4. Clique em Add.

5. Na anotação Microsoft Graph Permissions, marque a caixa e clique em Add.

Para saber mais, consulte Documentação do Azure.

Atualize o manifesto.

1. Na seção Manage da navegação à esquerda, clique em Manifest.

2. Atualize o accessTokenAcceptedVersion de null para 2.

   O número 2 representa a Versão 2 dos tokens de acesso da Microsoft. Outros aplicativos podem usar isso como um atestado assinado da identidade do usuário gerenciado pelo Active Directory. A versão 2 garante que o token seja um JSON Web Token que o MongoDB entenda.

3. Clique em Save.

Para saber mais sobre como adicionar uma reivindicação opcional, consulte Documentação do Azure.

Lembre-se dos metadados.

1. Na navegação à esquerda, clique em Overview.

   Copie o valor Application (client) ID.

2. Na navegação superior, clique em Endpoints.

   Copie o valor OpenID Connect metadata document sem a parte /.well-known/openid-configuration.

   Você também pode obter esse valor copiando o valor de issuer na URL OpenID Connect metadata document .

A tabela abaixo mostra como estes valores de UI do Microsoft Entra ID são mapeados em nossas propriedades de configuração do Atlas:

Go o Console de gerenciamento da federação.

1. Navegue até as configurações da Organização.

2. Clique em Open Federation Management App.

Adicione e verifique a propriedade do domínio.

Você deve verificar a propriedade do domínio que você registra com seu IdP. Você pode pular esta etapa se já tiver registrado seu domínio para SAML SSO com o Atlas.

1. Selecione Domínios na barra lateral esquerda.

2. Clique no botão Add Domain.

3. Insira um nome de exibição na caixa Display Name .

4. Insira um nome de domínio na caixa Domain Name .

5. Selecione o método que deseja usar para verificar se você é o proprietário do domínio clicando no botão HTML File Upload ou DNS Record .

6. Se você selecionou HTML File Upload, baixe o arquivo HTML fornecido e faça o upload para seu domínio para que fique acessível em https://<your-domain/mongodb-site-verification.html>.

7. Se você selecionou DNS Record, copie o TXT Record fornecido e carregue-o no provedor de domínio.

8. Clique em Continue.

9. Por fim, na página Domains , clique no botão Verify do seu domínio recém-adicionado.

Configurar fornecedores de identificação.

1. Clique em Identity Providers na barra lateral esquerda.

2. Execute uma das seguintes etapas:

   • Se você ainda não tiver nenhum provedor de identidade configurado, clique em Setup Identity Provider.

   • Caso contrário, na tela Identity Providers , clique em Configure Identity Provider(s).

3. Selecione Workforce Identity Provider e clique em Continue.

4. Selecione OIDC for Data Access.

Insira as seguintes configurações do protocolo do fornecedor de identidade da força de trabalho.

Clique Save and Finish.

Associe pelo menos um domínio ao seu IdP do Workforce .

1. Em seu cartão Fornecedor de identidade da força de trabalho, clique em Associate Domains.

2. No modal Associate Domains with Identity Provider, selecione um ou mais domínios.

3. Clique em Submit.

Habilite seu fornecedor de identidade da força de trabalho em uma organização.

1. Clique em Connect Organizations.

2. Para a organização que deseja conectar ao Provedor de Identidade da Força de Trabalho, clique em Configure Access.

3. Clique em Connect Identity Provider.

   Observação

   Se você tiver outro IdP configurado, este botão dirá Connect Identity Provider(s).

Selecione Workforce Identity Federation for Data Access.

No modal Connect Identity Provider(s) , selecione um fornecedor de identidade da força de trabalho onde o Purpose é Workforce Identity Federation.

Clique Connect.

Quando você conecta seu fornecedor de identidade da força de trabalho a uma organização, o Atlas habilita seu fornecedor de identidade da força de trabalho para todos os projetos dessa organização.

No Atlas, vá Database Access para a página do seu projeto.

1. Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.

2. Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.

3. Na barra lateral, clique em Database Access sob o título Security.

   A página Acesso ao banco de dados é exibida.

Abra a Add New Database User or Group caixa de diálogo .

Clique em Add New Database User or Group.

Selecione Federated Auth.

Na seção Authentication Method, selecione Federated Auth.

Selecione o fornecedor de identidade e identificador

a. Na seção Select Identity Provider , selecione um provedor de identidade OIDC configurado.

1. Especifique o identificador de usuário ou o identificador de grupo associado ao seu Workforce Identity Provider configurado.

Atribuir privilégios de usuário ou grupo.

Para atribuir privilégios ao novo usuário ou grupo, faça uma ou mais das seguintes tarefas:

• Selecione uma função integrada no menu suspenso Built-in Role.

  • Você pode selecionar um papel embutido por grupo de banco de dados na UI do Atlas.

  • Se você excluir a opção padrão, você poderá clicar em Add Built-in Role para selecionar um novo papel embutido.

• Selecione ou adicione funções personalizadas.

  • Se você tiver alguma função personalizada definida, poderá expandir a seção Custom Roles e selecionar uma ou mais funções no menu suspenso Custom Roles .

  • Clique em Add Custom Role para adicionar mais funções personalizadas.

  • Clique no link Custom Roles para visualizar os papéis personalizados para seu projeto.

• Adicionar privilégios.

  • Expanda a seção Specific Privileges e selecione um ou mais privilégios do Specific Privileges menu suspenso.

  • Clique em Add Specific Privilege para adicionar mais privilégios. Isso atribui privilégios específicos do grupo em bancos de dados e coleções individuais.

• Remova uma função ou privilégio aplicado.

  • Clique em Delete ao lado do

    função ou privilégio a ser excluído.

  Observação

  O Atlas não exibe o ícone Delete ao lado de sua seleção Built-in Role, Custom Role ou Specific Privilege se você tiver selecionado apenas uma opção. Você pode excluir o papel ou privilégio selecionado após aplicar outro papel ou privilégio.

O Atlas pode aplicar um papel embutido, múltiplos papéis personalizados e múltiplos privilégios específicos para um grupo do banco de dados.

Para saber mais sobre autorização, consulte Controle de acesso baseado em funções e Funções incorporadas no manual MongoDB.

Especifique os recursos no projeto que o usuário ou grupo pode acessar.

Por padrão, os grupos podem acessar todos os clusters e instâncias do banco de dados federado no projeto. Para restringir o acesso a clusters específicos e instâncias do banco de dados federado:

1. Alterne Restrict Access to Specific Clusters/Federated Database Instances para On.

2. Selecione os clusters e as instâncias de banco de dados federados aos quais conceder acesso ao grupo na lista Grant Access To.

Salve como usuário ou grupo temporário.

Alterne Temporary User ou Temporary Group para On e escolha um tempo após o qual o Atlas pode excluir o usuário ou grupo a partir da lista suspensa Temporary User Duration ou Temporary Group Duration . Você pode selecionar um dos seguintes períodos para o grupo existir:

• 6 horas

• 1 dia

• 1 semana

Na guia Database Users , usuários ou grupos temporários exibem o tempo restante até que o Atlas exclua os usuários ou grupo. Depois que o Atlas exclui o usuário ou grupo, qualquer cliente ou aplicativo que use as credenciais temporárias do usuário ou grupo perde o acesso ao cluster.

Adicione o novo usuário ou grupo do banco de dados.

Execute uma das seguintes etapas:

• Se você adicionou um usuário, clique no botão Add User .

• Se você adicionou um grupo, clique no botão Add Group .

Atualize suas chaves de assinatura em seu provedor de identidade do Workforce.

No Atlas, vá para a Organization Settings página .

1. Se ainda não estiver exibido, selecione sua organização desejada no Menu Organizations na barra de navegação.

2. Clique no ícone Organization Settings próximo ao menu Organizations.

   A página Configurações da organização é exibida.

Navegue até o aplicativo de gerenciamento da federação.

Na seção Setup Federated Login ou Manage Federation Settings, clique em Visit Federation Management App.

Clique Identity Providers em na barra lateral esquerda.

Role até o cartão Fornecedor de identidade da força de trabalho.

Clique no Revoke botão .

Depois de clicar em Revoke, o MongoDB busca as novas chaves por meio do endpoint JWKS. Você deve reiniciar seus clientes (como mongosh ou Compass) depois de revogar o JWKS.

No Atlas, vá para a Organization Settings página .

1. Se ainda não estiver exibido, selecione sua organização desejada no Menu Organizations na barra de navegação.

2. Clique no ícone Organization Settings próximo ao menu Organizations.

   A página Configurações da organização é exibida.

Navegue até o aplicativo de gerenciamento da federação.

Na seção Setup Federated Login ou Manage Federation Settings, clique em Visit Federation Management App.

Desconecte cada organização que você conectou ao seu provedor de identidade da força de trabalho.

1. Clique em Organizations na barra lateral esquerda.

2. Clique na organização que tem a Federação de Identidade da Força de Trabalho habilitada.

3. Clique em Disconnect no menu suspenso Manage no cartão Workforce Identity Federation.

4. No modal Disconnect identity provider?, clique em Disconnect.

   Ao desconectar um IdP, os usuários que fazem a autenticação usando o IdP perdem o acesso ao Workforce Identity Federation nos projetos do Atlas listados na tabela Project .

Clique Identity Providers em na barra lateral esquerda.

No cartão Fornecedor de identidade da força de trabalho, clique Delete em .

No modal Delete Identity Provider?, clique em Delete.