Descontinuação do LDAP
A partir do MongoDB 8.0, a autenticação e autorização LDAP estão obsoletas. O LDAP está disponível e continuará a operar sem alterações durante a vida útil do MongoDB 8. O LDAP será removido em uma futura versão principal.
Você deve migrar do LDAP para o Workforce Identity Federation (autenticação OIDC) para usuários humanos e Workload Identity Federation (OAuth 2.0) para usuários programáticos.
Com o Workforce Identity Federation, você pode gerenciar o acesso de usuários humanos aos Atlas Clusters a partir de qualquer provedor de identidade que ofereça suporte ao OIDC, incluindo Microsoft Entra ID, Okta e Ping Identity.
Com o Workload Identity Federation, você pode gerenciar o acesso de aplicação aos Atlas Clusters a partir de qualquer sistema de autorização que ofereça suporte ao OAuth 2.0. Você pode usar usuários de aplicação do provedor de nuvem , que incluem contas de serviço Azure Service Principals, Azure Managed Identities e Google Cloud Platform (GCP).
Começar
Para começar a usar a Federação de Identidade da Força de Trabalho e do Volume de Trabalho no Atlas, consulte:
Para começar a usar a Federação de Identidade da Força de Trabalho no servidor MongoDB , consulte Autenticação autogerenciada do OpenID Connect.
As informações de migração do LDAP estarão disponíveis no futuro.
Detalhes
As seções a seguir descrevem detalhes adicionais com as vantagens da Federação de Identidade de Força de Trabalho e Volume de Trabalho em comparação com o LDAP.
Atlas e Atlas para o governo
Eficiência de custos: para suporte do Atlas Developer e Pro, o LDAP tem uma taxa como parte do pacote Advanced Security. A Força de Trabalho e a Federação de Identidade de Volume de Trabalho não têm uma taxa adicional. Para preços, consulte:
Segurança de rede aprimorada: o LDAP requer um nome de domínio totalmente qualificado (FQDN) público, que cria uma possível vulnerabilidade de firewall . Com o Workforce Identity Federation, você pode usar um provedor de identidade (IdP) conectado à Internet e sincronizar parte do diretório de usuários com o seu IdP para melhorar a segurança com o Workforce Identity Federation.
Tratamento aprimorado de credenciais: diferentemente do LDAP, as credenciais do usuário não são enviadas ou armazenadas no MongoDB com o Identity Federation.
Políticas de autenticação modernas para usuários humanos: o Workforce Identity Federation permite a autenticação por meio do IdP, o que habilita o uso de políticas de autenticação modernas.
Configuração simples: Os usuários LDAP exigem uma configuração de rede complexa para o Atlas. O Identity Federation tem uma configuração mais simples.
Autenticação sem senhas para usuários de aplicação : o Identity Federation oferece suporte à autenticação sem senhas para aplicativos executados em recursos de nuvem específicos. Isso também elimina a renovação periódica de credenciais.
Maior segurança com tokens de acesso: o Identity Federation concede acesso por meio de tokens de acesso de curto termo , o que melhora a segurança em comparação com o LDAP. Os tokens de acesso normalmente são válidos por uma hora. O período de tempo pode ser personalizado com base no provedor de identidade.
Implementações no local do MongoDB Server
Além dos dois últimos pontos da lista anterior, as implementações de servidor local do MongoDB também têm a seguinte consideração adicional:
Redução do risco entre aplicativos: com o OIDC e o OAuth 2.0, tokens de acesso são concedidos para recursos específicos usando declarações de público. Se um token estiver comprometido, ele terá uma vida útil e escopo limitados para limitar o acesso.