Configurar autenticação federada a partir do Microsoft Entra ID
Nesta página
- Limitações
- Pré-requisitos
- Procedimentos
- Adicionar usuários de domínio
- Configurar o Microsoft Entra ID como um fornecedor de identidade
- Adicionar o ID do Microsoft Entra como um provedor de identidade no Cloud Manager
- (Opcional) Mapear uma Organização
- (Opcional) Configurar opções avançadas de autenticação federada
- Faça login no Cloud Manager usando sua URL de login
- A autenticação OAuth 2.0 para acesso programático ao Cloud Manager está disponível como um recurso de visualização.
- O recurso e a documentação correspondente podem mudar a qualquer momento durante o período de Pré-visualização. Para usar a 2.0 autenticação OAuth, crie uma conta de serviço para usar em suas solicitações para a API pública do Cloud Manager .
Este guia mostra como configurar a autenticação federada utilizando o Microsoft Entra ID como seu IdP.
Depois de integrar o Microsoft Entra ID e o Cloud Manager, você pode usar as credenciais da sua empresa para fazer login no Cloud Manager e em outros serviços de nuvem do MongoDB.
Limitações
O Cloud Manager não permite a integração de logon único para usuários de banco de dados.
Pré-requisitos
Para usar o ID Microsoft Entra como IdP para o Cloud Manager, você deve ter:
Uma assinatura do Azure . Para obtê-la, visite o portal do Microsoft Azure.
Um locatário de Microsoft Entra ID associado à sua assinatura. Para obter informações sobre como configurar um locatário do Microsoft Entra ID, consulte a documentação do Microsoft Entra ID .
Global Administrator
privilégios em seu locatário do Microsoft Entra ID.Um nome de domínio personalizado e roteável.
Procedimentos
Adicionar usuários de domínio
Caso ainda não o tenha feito, use o console do Azure para adicionar seu nome de domínio personalizado ao Microsoft Entra ID e criar usuários:
Adicione seu domínio personalizado ao ID Microsoft Entra
Adicione seu nome de domínio personalizado ao Microsoft Entra ID para criar usuários que pertençam ao seu domínio. Após adicionar seu domínio, você também deve adicionar as informações de DNS do Microsoft Entra ID em um registro do TXT
com seu provedor de DNS e verificar a configuração.
Para adicionar seu domínio personalizado ao Microsoft Entra ID,consulte a documentação do Azure.
Crie usuários do Microsoft Entra ID.
Se ainda não existirem, crie usuários no Microsoft Entra ID aos quais você deseja conceder acesso ao banco de dados. Os usuários devem pertencer ao domínio personalizado que você adicionou ao ID do Microsoft Entra.
Para criar usuários do Microsoft Entra ID, consulte a documentação do Azure.
Configurar o Microsoft Entra ID como um fornecedor de identidade
Use o console do Azure para configurar o Microsoft Entra ID como um SAML IdP. Você pode adicionar o aplicativo do MongoDB Cloud na galeria ou configurar um aplicativo manualmente.
Adicione o aplicativo MongoDB Cloud pela galeria.
Para adicionar o aplicativo MongoDB Cloud ao seu locatário do Microsoft Entra ID, consulte a documentação do Azure.
Atribua usuários ao aplicativo.
Atribua usuários ao aplicativo. Esses usuários terão acesso ao Cloud Manager e a outros serviços de cloud do MongoDB quando você concluir o tutorial.
Para atribuir usuários do Microsoft Entra ID a um aplicativo, consulte a documentação do Azure.
Acesse a página de configuração do SAML para iniciar a configuração do logon único.
Para navegar até a página de configuração SAML, consulte a documentação do Azure.
Defina valores temporários para o Identificador e URL de Resposta.
Para gerar um certificado de assinatura SAML válido, você deve atribuir valores temporários a Identifier e Reply URL para seu aplicativo de empresa do Microsoft Entra ID. Se você baixar o certificado antes de definir esses valores, o certificado baixado não será exclusivo e você precisará baixá-lo novamente após definir esses valores.
Para definir os valores temporários:
Clique em Edit na Seção 1.
Remova qualquer valor padrão existente e defina os seguintes valores temporários:
ContextoValor temporárioIdentifier (Entity ID)
https://www.okta.com/saml2/service-provider/MongoDBCloud
Reply URL (Assertion Consumer Service URL).
https://auth.mongodb.com/sso/saml2/
Clique em Save.
Atualize a página do navegador para garantir que o certificado seja gerado novamente.
Após a primeira atualização do Identificador temporário e da URL de resposta, a impressão digital e a data de validade do certificado são alteradas.
Opcional: adicione declarações de grupo ao token SAML.
Pule esta etapa se não usar o mapeamento de funções.
Para usar o mapeamento de funções, adicione a seguinte declaração de grupo ao token SAML que o ID do Microsoft Entra envia ao Cloud Manager:
Clique em Add a group claim. O Azure exibe o painel Group Claims.
Em Which groups associated with the user should be returned in the claim?, clique em Security groups. Os grupos que você pode selecionar dependem do tipo de grupos que você configurou em seu ambiente Azure. Talvez seja necessário selecionar um tipo diferente de grupo para enviar as informações apropriadas do grupo.
Na lista suspensa Source attribute , selecione Group Id. Se você selecionar Group Id, o Azure enviará o ID de objeto do grupo de segurança e não o nome do grupo legível por humanos. Dependendo do seu ambiente Azure, você pode ter a opção de selecionar um atributo de origem diferente que envie o nome do grupo. Ao criar mapeamentos de função no Cloud Manager, corresponda os dados de grupo do Azure enviados na resposta SAML ao nome de mapeamento de função configurado do MongoDB Atlas .
Clique em Customize the name of the group claim na seção Advanced options.
Configure Name como memberOf.
Deixe Namespace em branco.
Limpe Emit groups as role claims.
Clique em Save.
Adicione um aplicativo que não seja de galeria ao Microsoft Entra ID.
Dê ao aplicativo um nome descritivo, como MongoDB-Cloud-Manager
.
Para adicionar um aplicativo que não seja da galeria ao Microsoft Entra ID, consulte a documentação do Azure.
Atribua usuários ao aplicativo.
Atribua usuários ao aplicativo. Esses usuários terão acesso ao Cloud Manager e a outros serviços de cloud do MongoDB quando você concluir o tutorial.
Para atribuir usuários do Microsoft Entra ID a um aplicativo, consulte a documentação do Azure.
Acesse a página de configuração do SAML para iniciar a configuração do logon único.
Para navegar até a página de configuração SAML, consulte a documentação do Azure.
Defina valores temporários para o Identificador e URL de Resposta.
Para gerar um certificado de assinatura SAML válido, você deve atribuir valores temporários para Identifier e Reply URL para seu aplicativo de empresa do Microsoft Entra ID. Se você baixar o certificado antes de definir esses valores, o certificado baixado não será exclusivo e você precisará baixá-lo novamente após definir esses valores.
Para definir os valores temporários:
Clique em Edit na Seção 1.
Remova qualquer valor padrão existente e defina os seguintes valores temporários:
ContextoValor temporárioIdentifier (Entity ID)
https://www.okta.com/saml2/service-provider/MongoDBCloud
Reply URL (Assertion Consumer Service URL).
https://auth.mongodb.com/sso/saml2/
Clique em Save.
Atualize a página do navegador para garantir que o certificado seja gerado novamente.
Após a primeira atualização do Identificador temporário e da URL de resposta, a impressão digital e a data de validade do certificado são alteradas.
Edite a declaração obrigatória Unique User Identifier.
Use os seguintes valores:
Choose name identifier format:
Unspecified
Source:
Attribute
Source attribute:
user.userprincipalname
Observação
Dependendo da configuração do Active Directory, o atributo de origem que você usa pode ser diferente. Use o atributo de origem que contém o endereço de e-mail completo de um usuário.
Para editar a declaração obrigatória Unique User Identifier, consulte a documentação do Azure.
Adicione declarações de usuário ao token SAML.
Adicione as seguintes declarações de usuário ao token SAML que o Microsoft Entra ID envia ao Cloud Manager:
Importante
Os valores na coluna Nome diferenciam maiúsculas de minúsculas. Digite-os exatamente como mostrado.
Você deve deixar o campo Namespace
vazio para todas as declarações de usuário.
Nome | Fonte | Atributo de origem |
---|---|---|
| Atributo |
|
| Atributo |
|
| Atributo |
|
Observação
Dependendo da configuração do Active Directory, os atributos de origem que você usa podem ser diferentes. Use os atributos de origem que contêm o nome, o sobrenome e o endereço de e-mail completo de um usuário para as declarações apropriadas.
Para adicionar declarações de usuário, consulte a documentação do Azure.
Opcional: adicione declarações de grupo ao token SAML.
Pule esta etapa se não usar o mapeamento de funções.
Para usar o mapeamento de funções, adicione a seguinte declaração de grupo ao token SAML que o ID do Microsoft Entra envia ao Cloud Manager:
Clique em Add a group claim. O Azure exibe o painel Group Claims.
Em Which groups associated with the user should be returned in the claim?, clique em Security groups. Os grupos que você pode selecionar dependem do tipo de grupos que você configurou em seu ambiente Azure. Talvez seja necessário selecionar um tipo diferente de grupo para enviar as informações apropriadas do grupo.
Na lista suspensa Source attribute , selecione Group Id. Se você selecionar Group Id, o Azure enviará o ID de objeto do grupo de segurança e não o nome do grupo legível por humanos. Dependendo do seu ambiente Azure, você pode ter a opção de selecionar um atributo de origem diferente que envie o nome do grupo. Ao criar mapeamentos de função no Cloud Manager, corresponda os dados de grupo do Azure enviados na resposta SAML ao nome de mapeamento de função configurado do MongoDB Atlas .
Clique em Customize the name of the group claim na seção Advanced options.
Configure Name como memberOf.
Deixe Namespace em branco.
Limpe Emit groups as role claims.
Clique em Save.
Verifique se o certificado de assinatura SAML usa SHA-256
.
Para verificar se o certificado de assinatura SAML usa o algoritmo de assinatura SHA-256
, consulte a documentação do Azure.
Adicionar o ID do Microsoft Entra como um provedor de identidade no Cloud Manager
Use o Federation Management Console e o console do Azure para adicionar o Microsoft Entra ID como um IdP:
No MongoDB Cloud Manager, váGo para a Organization Settings página.
Se ainda não estiver exibido, selecione sua organização desejada no Menu Organizations na barra de navegação.
Clique no ícone Organization Settings próximo ao menu Organizations.
A página Configurações da organização é exibida.
Adicione o ID da Microsoft Entra ao Cloud Manager como um provedor de identidade.
Clique em Add Identity Providers
Se você ainda não tiver nenhum provedor de identidade configurado, clique em Setup Identity Provider. Caso contrário, na tela Identity Providers, clique em Add Identity Provider.
Insira ou selecione as seguintes configurações de protocolo SAML. Todos os campos são obrigatórios:
CampoDescriçãoConfiguration Name
Insira um nome descritivo, como ID da Microsoft Entra.
IdP Issuer URI
Cole o Microsoft Entra ID Identifier que você copiou do Azure anteriormente no tutorial.
IdP Single Sign-On URL
Cole o Login URL que você copiou do Azure anteriormente no tutorial.
IdP Signature Certificate
Carregue o certificado de assinatura SAML codificado em
Base64
que você baixou do Azure anteriormente no tutorial.Você também pode:
Carregue o certificado de seu computador ou
Cole o conteúdo do certificado em uma caixa de texto.
Request Binding
Selecione HTTP POST.
Response Signature Algorithm
Selecione SHA-256.
Clique em Next.
Carregue o arquivo de metadados no Azure para concluir a configuração do Microsoft Entra ID como um IdP.
Para carregar o arquivo, consulte a captura de tela na etapa 3 de Habilitar logon único para uma aplicação na documentação do Azure . Clique Upload metadata file na página de configuração de SSO, conforme mostrado na captura de tela na documentação do Azure vinculada.
Opcionalmente, adicione uma URL RelayState ao seu IdP para enviar usuários para uma URL que você escolher e evitar redirecionamentos desnecessários após o login. Você pode usar:
Destino | URL do RelayState | |
---|---|---|
MongoDB MongoDB Cloud Manager | O Login URL que foi gerado para a configuração do seu fornecedor de identidade no aplicativo de gerenciamento da federação do MongoDB Cloud Manager. | |
Portal de suporte do MongoDB |
| |
MongoDB University |
| |
Fóruns da comunidade do MongoDB |
| |
MongoDB feedback engine |
| |
JIRA DO MONGODB |
|
Mapeie seu domínio
O mapeamento do seu domínio para o IdP permite que o Cloud Manager saiba que os usuários do seu domínio devem ser direcionados para o Login URL para a configuração do seu provedor de identidade.
Quando os usuários visitam a página de login do Cloud Manager, eles inserem seu endereço de e-mail. Se o domínio de e-mail estiver associado a um IdP, ele será enviado para o URL de login para esse IdP.
Importante
Você pode mapear um único domínio para vários provedores de identidade. Se você fizer isso, os usuários que fizerem login usando o console do MongoDB Cloud serão automaticamente redirecionados para o primeiro IdP correspondente mapeado para o domínio.
Para fazer login usando um provedor de identidade alternativo, os usuários devem:
Inicie o login do MongoDB Cloud por meio do IdP desejado ou
Faça login utilizando o Login URL associado ao IdP desejado.
Utilize o Federation Management Console para mapear seu domínio para o IdP:
No MongoDB Cloud Manager, váGo para a Organization Settings página.
Se ainda não estiver exibido, selecione sua organização desejada no Menu Organizations na barra de navegação.
Clique no ícone Organization Settings próximo ao menu Organizations.
A página Configurações da organização é exibida.
Insira informações de mapeamento de domínio.
Clique em Add a Domain.
Na tela Domains, clique em Add Domain.
Insira as seguintes informações para o mapeamento do seu domínio:
CampoDescriçãoNome de exibição
Nome para identificar facilmente o domínio.
Nome de domínio
Nome de domínio para mapear.
Clique em Next.
Escolha como verificar seu domínio.
Observação
Você pode escolher o método de verificação uma vez. Não pode ser modificado. Para selecionar um método de verificação diferente, exclua e recrie o mapeamento de domínio.
Selecione a guia apropriada com base no fato de estar verificando seu domínio fazendo upload de um arquivo HTML ou criando um registro DNS TXT:
Carregue um arquivo HTML com uma chave de verificação para atestar que o domínio é seu.
Clique em HTML File Upload.
Clique em Next.
Baixe o arquivo
mongodb-site-verification.html
fornecido pelo Cloud Manager.Carregue o arquivo HTML em um site do seu domínio. Você precisa acessar o arquivo em
<https://host.domain>/mongodb-site-verification.html
.Clique em Finish.
Crie um registro DNS TXT com seu provedor de domínio para verificar se você é o proprietário do domínio. Cada registro DNS associa uma organização específica do Cloud Manager a um domínio específico.
Clique em DNS Record.
Clique em Next.
Copie o registro TXT fornecido. O registro TXT tem o seguinte formato:
mongodb-site-verification=<32-character string> Faça login no seu provedor de nome de domínio (como GoDaddy.com ou networksolutions.com).
Adicione o registro TXT que o Cloud Manager fornece ao seu domínio.
Retorne ao Cloud Manager e clique em Finish.
Associe seu domínio ao seu provedor de identidade
Depois de verificar com êxito seu domínio, use o Federation Management Console para associar o domínio ao Microsoft Entra ID:
Teste o mapeamento do seu domínio
Importante
Antes de iniciar o teste, copie e salve o URL do modo Bypass SAML para seu IdP. Use esse URL para ignorar a autenticação federada no caso de você ser bloqueado da sua organização do Cloud Manager.
Ao testar, mantenha sua sessão conectada ao Federation Management Console para garantir ainda mais contra bloqueios.
Para mais informações sobre Bypass SAML Mode, consulte Ignorar Modo SAML.
Use o Federation Management Console para testar a integração entre seu domínio e o Microsoft Entra ID:
Clique em Next.
Se você mapeou seu domínio corretamente, você será redirecionado para o seu IdP para autenticação. Se a autenticação com seu IdP for bem-sucedida, você será redirecionado de volta para o Cloud Manager.
Observação
Você pode ignorar a página de conexão do Cloud Manager navegando diretamente para o Login URL do seu IdP. O Login URL levará você diretamente ao seu IdP para autenticação.
(Opcional) Mapear uma Organização
Use o Federation Management Console para atribuir aos usuários do seu domínio acesso a organizações específicas do Cloud Manager:
No MongoDB Cloud Manager, váGo para a Organization Settings página.
Se ainda não estiver exibido, selecione sua organização desejada no Menu Organizations na barra de navegação.
Clique no ícone Organization Settings próximo ao menu Organizations.
A página Configurações da organização é exibida.
Conecte uma organização ao Aplicativo de Federação.
Clique em View Organizations.
O Cloud Manager exibe todas as organizações onde você é um
Organization Owner
.As organizações que ainda não estão conectadas ao Aplicativo de Federação têm o botão Connect na coluna Actions.
Clique no botão Connect da organização desejada.
Aplique um Fornecedor de Identidade à organização.
Na tela Organizations do console de gerenciamento:
Clique no Name da organização que você deseja mapear para um IdP.
Na tela Identity Provider, clique em Apply Identity Provider.
O Cloud Manager direciona você para a tela Identity Providers , que mostra todos os IdPs que você vinculou ao Cloud Manager.
Para o IdP que você deseja aplicar na organização, clique em Modify.
Na parte inferior do formulário Edit Identity Provider , selecione as organizações para as quais este IdP se aplica.
Clique em Next.
Clique em Finish.
(Opcional) Configurar opções avançadas de autenticação federada
Você pode configurar as seguintes opções avançadas para autenticação federada para maior controle sobre seus usuários federados e fluxo de autenticação:
Observação
As seguintes opções avançadas para autenticação federada exigem que você mapeie uma organização.
Faça login no Cloud Manager usando sua URL de login
Todos os usuários que você atribuiu ao aplicativo do Azure podem conectar-se ao Cloud Manager usando suas credenciais do Microsoft Entra ID no Login URL. Os usuários têm acesso às organizações que você mapeou para o seu IdP.
Importante
Você pode mapear um único domínio para vários provedores de identidade. Se você fizer isso, os usuários que fizerem login usando o console do MongoDB Cloud serão automaticamente redirecionados para o primeiro IdP correspondente mapeado para o domínio.
Para fazer login usando um provedor de identidade alternativo, os usuários devem:
Inicie o login do MongoDB Cloud por meio do IdP desejado ou
Faça login utilizando o Login URL associado ao IdP desejado.
Se você selecionou um role de organização padrão, os novos usuários que se conectam ao Cloud Manager usando o Login URL terão o role que você especificou.