Gerenciar provedores de identidade
Nesta página
- A autenticação OAuth 2.0 para acesso programático ao Cloud Manager está disponível como um recurso de visualização.
- O recurso e a documentação correspondente podem mudar a qualquer momento durante o período de Pré-visualização. Para usar a 2.0 autenticação OAuth, crie uma conta de serviço para usar em suas solicitações para a API pública do Cloud Manager .
A autenticação federada do MongoDB vincula suas credenciais em muitos sistemas MongoDB. O MongoDB Cloud Manager implementa a autenticação usando o modelo de gerenciamento de identidade federada.
Usar o modelo FIM:
Sua empresa gerencia suas credenciais usando um fornecedor de identidade (IdP). Com o IdP dela, a sua empresa pode permitir a sua autenticação em outros serviços na web.
Você configura o Cloud Manager para autenticar usando os dados passados do seu IdP.
Isso vai além do SSO , pois seu IdP managed suas credenciais, não o MongoDB. Seus usuários podem usar o Cloud Manager sem precisar lembrar de outro nome de usuário e senha.
O procedimento a seguir orienta você na vinculação de um IdP ao Cloud Manager.
Acesso de gerenciamento de federação
Você pode gerenciar a autenticação federada a partir do Federation
Management Console. Você pode acessar o console desde que seja um Organization Owner
em uma ou mais organizações que estejam delegando configurações de federação à instância.
Procedimento
Importante
Configuração de dois estágios
Dependendo do seu fornecedor de identidade, pode ser aplicada uma lógica circular no vínculo a um fornecedor de serviços como o Cloud Manager. Para vincular seu IdP ao Cloud Manager:
Seu IdP precisa dos valores do Cloud Manager e
O Cloud Manager precisa de valores do seu IdP.
Para simplificar a configuração, o Cloud Manager solicita que você insira valores de espaço reservado para as configurações do IdP e do Cloud Manager. Você substituirá estes valores mais tarde no procedimento.
Configurar um aplicativo de provedor de identidade externo
Para configurar a autenticação federada, você deve ter um aplicativo SAML IdP externo. No SAML IdP, você deve:
Crie uma nova aplicação para o Cloud Manager.
Configurar os primeiros valores do SAML para o novo aplicativo:
Definir valores de espaço reservado para os seguintes campos:
SP Entity ID or Issuer
Audience URI
Assertion Consumer Service (ACS) URL
Definir valores válidos para os seguintes campos:
CampoValorSignature Algorithm
O algoritmo de assinatura é o algoritmo usado para criptografar a assinatura do IdP . O Cloud Manager aceita os seguintes valores de algoritmo de assinatura:
SHA-1
SHA-256
Name ID
Um endereço de e-mail válido.
IMPORTANTE: Name ID é seu endereço de e-mail e nome de usuário.
Name ID Format
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
Criar atributos com Nomes de Atributo para os seguintes Valores de Atributo:
firstName
lastName
Observação
Os nomes desses atributos diferenciam maiúsculas de minúsculas. Digiteos nomes dos atributos conforme mostrado em camelCase.
Salve esses valores.
Depois de concluir a configuração inicial da sua aplicação IdP , vincule o IdP ao Cloud Manager para federar os acessos dos seus usuários.
Aplicar seu fornecedor de identidade ao Cloud Manager
Observação
Pré-requisitos
Este procedimento pressupõe que você já tem um IdP externo. Para saber como configurar um IdP, consulte Configurar um aplicativo de provedor de identidade externo.
Você pode configurar a autenticação federada no Cloud Manager no Federation Management Console. Use este console para:
Configure o Identity Providers para autenticar usuários pertencentes a organizações especificadas.
Conecte o Cloud Manager Organizations ao seu IdP.
Verifique e associe o Domains com seu IdP para forçar os usuários a autenticar utilizando este IdP.
Abra o Console de gerenciamento
No MongoDB Cloud Manager, váGo para a Organization Settings página.
Se ainda não estiver exibido, selecione sua organização desejada no Menu Organizations na barra de navegação.
Clique no ícone Organization Settings próximo ao menu Organizations.
A página Configurações da organização é exibida.
No Console de gerenciamento:
Clique em Add Identity Providers
Se você ainda não tiver nenhum provedor de identidade configurado, clique em Setup Identity Provider. Caso contrário, na tela Identity Providers, clique em Add Identity Provider.
Insira ou selecione as seguintes configurações de protocolo SAML. Todos os campos são obrigatórios:
CampoDescriçãoConfiguration Name
Nome desta configuração de IdP .
IdP Issuer URI
Identificador para o emissor da Asserção SAML.
Especifique um valor de espaço reservado para este campo. Obtenha o valor real deste campo do seu IdP depois de fornecer a ele os metadados do Cloud Manager.
IdP Single Sign-On URL
URL do receptor do AuthNRequest SAML.
Especifique um valor de espaço reservado para este campo. Obtenha o valor real deste campo do seu IdP depois de fornecer a ele os metadados do Cloud Manager.
IdP Signature Certificate
Certificado de chave pública codificado em PEM do IdP. Esse valor está disponível no seu IdP.
Você também pode:
Carregue o certificado de seu computador ou
Cole o conteúdo do certificado em uma caixa de texto.
Request Binding
Vinculação do protocolo de solicitação de autenticação do SAML usado para enviar o AuthNRequest. Pode ser um dos seguintes:
HTTP POST
HTTP REDIRECT
Response Signature Algorithm
Algoritmo de resposta usado para assinar o SAML AuthnRequest. Pode ser um dos seguintes:
SHA-256
SHA-1
Clique em Next.
Configure seu fornecedor de identidade com os metadados do Cloud Manager
Após configurar seu IdP no Cloud Manager, você pode fornecer os metadados necessários do Cloud Manager ao seu IdP.
Na tela Identity Provider no Cloud Manager, clique em Download metadata para baixar os metadados exigidos pelo seu IdP. O Cloud Manager disponibiliza os dados como um arquivo
.xml
.Observação
Cloud Manager fornece Assertion Consumer Service URL e Audience URI se você quiser copiar e salvar manualmente esses valores. Esses valores estão disponíveis no download de metadados.
Envie os metadados para o seu IdP.
Agora você tem as informações necessárias para substituir os valores dos espaços reservados IdP Issuer URI e IdP Single Sign-On URL definidos ao configurar o mapeamento IdP inicial no Cloud Manager.
No Cloud Manager, modifique os valores do espaço reservado definidos para IdP Issuer URI e IdP Single Sign-On URL para o IdP vinculado com os valores apropriados do seu IdP.
Opcionalmente, adicione uma URL RelayState ao seu IdP para enviar usuários para uma URL que você escolher e evitar redirecionamentos desnecessários após o login. Você pode usar:
DestinoURL do RelayStateMongoDB MongoDB Cloud Manager
O Login URL que foi gerado para a configuração do seu fornecedor de identidade no aplicativo de gerenciamento da federação do MongoDB Cloud Manager.
Portal de suporte do MongoDB
https://auth.mongodb.com/app/salesforce/exk1rw00vux0h1iFz297/sso/saml MongoDB University
https://auth.mongodb.com/home/mongodb_thoughtindustriesstaging_1/0oadne22vtcdV5riC297/alndnea8d6SkOGXbS297 Fóruns da comunidade do MongoDB
https://auth.mongodb.com/home/mongodbexternal_communityforums_3/0oa3bqf5mlIQvkbmF297/aln3bqgadajdHoymn297 MongoDB feedback engine
https://auth.mongodb.com/home/mongodbexternal_uservoice_1/0oa27cs0zouYPwgj0297/aln27cvudlhBT7grX297 JIRA DO MONGODB
https://auth.mongodb.com/app/mongodbexternal_mongodbjira_1/exk1s832qkFO3Rqox297/sso/saml Retorne ao Cloud Manager e clique em Finish.
Importante
Depois de vincular seu IdP ao Cloud Manager, ele é exibido como Inactive no Federation Management Console até que você mapeie pelo menos um domínio para o IdP.
Próximos passos
Após conectar seu IdP ao Cloud Manager, mapeie um ou mais domínios para seu IdP. O Cloud Manager autentica os usuários desses domínios por meio do seu IdP.