Opções avançadas para autenticação federada
Nesta página
Você pode configurar as opções avançadas na instância da Autenticação federada para ter maior controle sobre os usuários federados e o fluxo de autenticação .
Acesso de gerenciamento de federação
Você pode gerenciar a autenticação federada a partir do Federation
Management Console. Você pode acessar o console desde que seja um Organization Owner em uma ou mais organizações que estão delegando configurações de federação à instância.
Para abrir o Federation Management Console:
No MongoDB Cloud Manager, Go para a Organization Settings página.
Se ainda não estiver exibido, selecione sua organização desejada no Menu Organizations na barra de navegação.
Clique no ícone Organization Settings próximo ao menu Organizations.
É exibida a página Configurações de organização.
Atribuir uma função de usuário padrão para uma organização
- Você pode configurar o MongoDB Atlas para provisionar automaticamente cada usuário que
- autentica por meio doIdP com uma função padrão em uma organização mapeada. Você pode selecionar funções diferentes para organizações diferentes.
Observação
A função selecionada só se aplica aos usuários que se autenticam por meio do IdP caso ainda não tenham uma função na organização.
Restringir acesso a uma organização por domínio
Você pode especificar uma lista de domínios aprovados para impedir que usuários fora desses domínios acessem a sua organização. Use esta lista para definir uma lista de domínios aprovados para sua organização sem precisar mapear diretamente esses domínios para seu IdP.
Importante
Considerações
Após habilitar a opção Restrict Access by Domain :
Somente é permitido convidar para participar da sua organização novos usuários cujos endereços de e-mail estão na lista de domínios aprovados.
Os usuários que já estão na sua organização cujos nomes de usuário não contêm um domínio na lista aprovada não têm acesso restrito à sua organização.
Todos os domínios mapeados para o seu IdP são automaticamente adicionados à lista aprovada.
A partir do Federation Management Console:
Adicione domínios à lista aprovada.
Para adicionar domínios à lista aprovada, você pode:
Clique Add Domains from Existing Members. O Cloud Manager abre um modal contendo domínios de endereços de e-mail de usuários existentes em sua organização. Use esta lista para habilitar facilmente o acesso para usuários que já fazem parte da sua organização.
Use as caixas de seleção para selecionar os domínios desejados e clique em Add para adicioná-los à lista aprovada.
Clique Add Domains. O Cloud Manager abre um modal onde você pode adicionar domínios manualmente à lista aprovada.
Insira o domínio que você deseja aprovar na caixa de entrada e clique em Add. Repita este processo para cada domínio que você deseja aprovar.
Observação
Se você tiver restringido a associação de usuários à sua federação, o Cloud Manager avisa se você adicionar um domínio que está sendo usado para acessar organizações fora da sua federação.
Após adicionar todos os domínios desejados, clique em Submit.
Ignorar modo SAML
Bypass SAML Mode fornece um URL de login que ignora sua autenticação federada e, em vez disso, permite que você autentique com suas credenciais do Cloud Manager.
Se as configurações de autenticação federada não estiverem configuradas corretamente, talvez você não consiga se conectar no Cloud Manager por meio do seu IdP. O URL do Bypass SAML Mode ajuda a impedir que você seja bloqueado da sua organização do Cloud Manager. Ao configurar e testar seu IdP, recomendamos que anote o URL Bypass SAML Mode para garantir que pode fazer login no Cloud Manager e configurar corretamente as configurações de autenticação federada.
Cada URL Bypass SAML Mode está associada a um IdP individual e corresponde ao Login URL do IdP.
Bypass SAML Mode é ativado por padrão, no entanto, você pode optar por desativá-lo como medida de segurança se tiver certeza de que configurou corretamente a sua autenticação federada.
Para definir Bypass SAML Mode, a partir do Federation Management Console:
Faça login após habilitar Bypass SAML Mode
Após habilitar o Bypass SAML Mode, você deve se conectar ao Cloud Manager usando:
O URL do Bypass SAML Mode para seu IdP.
Um nome de usuário que:
Contém o domínio que você mapeou para o seu IdP.
Você usou para entrar no MongoDB Atlas ou Cloud Manager antes de configurar a Autenticação Federada.
Restringir a adesão de usuários à Federação
Você pode impedir que os usuários em sua instância de autenticação federada criem novas organizações ou usem suas credenciais para acessar organizações fora da federação. Defina essa configuração para ter controle total de seus usuários federados e para ajudar a garantir que os usuários federados tenham acesso apenas às organizações desejadas do Cloud Manager.
Importante
Esta configuração se aplica a toda a federação, incluindo todos os Fornecedores de Identidade e Organizações dentro da federação.
Considerações
Depois de habilitar essa configuração:
Nenhum usuário em sua instância de autenticação federada conseguirá ter acesso a organizações fora da sua federação.
Da mesma forma, nenhum usuário federado pode aceitar ou receber convites para ingressar em organizações fora da sua federação.
Os usuários na sua federação com a função
Organization Ownerainda podem criar novas organizações. Estas novas organizações são automaticamente conectadas à sua federação.Os usuários em sua federação sem a função
Organization Ownernão podem criar novas organizações.Os usuários em sua federação têm acesso a todas as organizações a que tinham acesso antes da restrição de associação.
Procedimento
A partir do Federation Management Console:
Visualizar conflitos de usuários
Se sua federação contiver usuários que pertencem a organizações de fora da sua federação, o Cloud Manager exibirá um cartaz de aviso. Para revisar os usuários conflitantes, clique em View User Conflicts.
O Cloud Manager exibe um modal com uma lista de usuários que entram em conflito com a restrição de federação. Considere entrar em contato com esses usuários para alertá-los sobre a restrição.