Menu Docs
Página inicial do Docs
/
Manual do MongoDB
/ / / / /

Configurar um provedor de identidade externo

Nesta página

  • Sobre esta tarefa
  • Antes de começar
  • Passos

Para configurar o Workload Identity Federation usando o OAuth 2.0, registre seu aplicação OAuth 2.0 com um provedor de identidade externo, como o Microsoft Azure ou o Google Cloud Platform (GCP). Isso permite a autenticação segura e simplifica o gerenciamento de usuários.

O Workload Identity Federation usa tokens de acesso OAuth2.0. Esses tokens podem ser emitidos por qualquer provedor de identidade externo .

Os procedimentos a seguir configuram o Microsoft Azure Entra ID e o Google Cloud Platform como provedores de identidade externos para o MongoDB.

  • To use Microsoft Azure as an provedor de identidade, you must have a Microsoft Azure account.

  • Para usar o Google Cloud como provedor de identidade, você deve ter uma conta do Google Cloud.

Para acessar instâncias autogerenciadas do MongoDB com o Azure Managed Identities ou o Azure Service Principals, você precisa registrar um aplicação de ID do Azure Entra. Se você tiver um registro de aplicação existente para acesso doWorkforce (usuário humano), recomendamos que você registre um aplicação separado para acesso do Workload.

1
  1. Navegue até App registrations.

    1. Em seu Azure portal do conta, Atlas Search e clique Microsoft Entra ID em .

    2. Na seção Manage da navegação à esquerda, clique em App registrations.

  2. Clique em New registration.

  3. Aplique os seguintes valores.

    Campo
    Valor

    Name

    MongoDB - Workload

    Supported Account Types

    Accounts in this organizational directory only (single tenant)

    Redirect URI

    Web

2

Para o acesso a aplicação , é uma prática recomendada usar identificadores de entidade de serviço como identificadores de usuário do MongoDB ao definir direitos de acesso em sistemas autogerenciados do MongoDB . Se você planeja usar essa abordagem comum, pule esta etapa. No entanto, se preferir usar identificadores de grupo, como o identificador do Grupo de Segurança do Azure AD, você pode definir a reivindicação de grupos no registro do aplicação com as etapas abaixo.

  1. Navegue até Token Configuration.

    Na seção Manage da navegação à esquerda, clique em Token Configuration.

  2. Clique em Add groups claim.

  3. No modal Edit groups claim, selecione Security.

    Quais grupos você seleciona dependem do tipo de grupos que você configurou em seu ambiente Azure. Talvez seja necessário selecionar um tipo diferente de grupo para enviar as informações apropriadas do grupo.

  4. Na seção Customize token properties by type , certifique-se de selecionar apenas Group ID.

    Quando você seleciona Group ID, o Azure envia o ID de objeto do grupo de segurança.

  5. Clique em Add.

    Para saber mais sobre como adicionar uma declaração de grupo, consulte Documentação do Azure.

3
  1. Navegue até Expose an API na barra lateral esquerda e ative o URI do ID do aplicativo.

  2. Ative um URI de ID de aplicativo.

    Mantenha o URI de ID de aplicativo padrão atribuído pelo Azure, que é <application_client_id>. Copie e armazene esse valor, pois os MongoDB autogerenciados e todos os drivers do MongoDB exigem esse valor para a configuração do Workload Identity Federation.

4
  1. Na seção Manage da navegação à esquerda, clique em Manifest.

  2. Atualize o accessTokenAcceptedVersion de null para 2.

    O número 2 representa a Versão 2 dos tokens de acesso da Microsoft. Outros aplicativos podem usar isso como prova da identidade do usuário gerenciado pelo Active Directory. A versão 2 garante que o token seja um JSON Web Token que o MongoDB entenda.

  3. Clique em Save.

Para saber mais sobre como adicionar uma reivindicação opcional, consulte Documentação do Azure.

5
  1. Na navegação à esquerda, clique em Overview.

  2. Na navegação superior, clique em Endpoints.

    Copie o valor OpenID Connect metadata document, excluindo /.well-known/openid-configuration.

    Você também pode recuperar este valor seguindo a URL do OpenID Connect metadata document e copiando o valor para issuer.

A tabela a seguir mostra o que esses valores da interface do usuário do Microsoft Entra ID são mapeados no oidcIdentityProviders parâmetro MongoDB:

IU do Microsoft Entra ID
Campo de parâmetro do MongoDB oidcIdentityProviders

OpenID Connect metadata document (without /.well-known/openid-configuration)

issuer

Application ID URI

audience

Você não precisa fazer nenhuma alteração de configuração em sua conta de serviço do Google Cloud Platform.

Voltar

Volume de trabalho (aplicativos)