Configurar um provedor de identidade externo
Nesta página
Para configurar o Workload Identity Federation usando o OAuth 2.0, registre seu aplicação OAuth 2.0 com um provedor de identidade externo, como o Microsoft Azure ou o Google Cloud Platform (GCP). Isso permite a autenticação segura e simplifica o gerenciamento de usuários.
Sobre esta tarefa
O Workload Identity Federation usa tokens de acesso OAuth2.0. Esses tokens podem ser emitidos por qualquer provedor de identidade externo .
Os procedimentos a seguir configuram o Microsoft Azure Entra ID e o Google Cloud Platform como provedores de identidade externos para o MongoDB.
Antes de começar
To use Microsoft Azure as an provedor de identidade, you must have a Microsoft Azure account.
Para usar o Google Cloud como provedor de identidade, você deve ter uma conta do Google Cloud.
Passos
Para acessar instâncias autogerenciadas do MongoDB com o Azure Managed Identities ou o Azure Service Principals, você precisa registrar um aplicação de ID do Azure Entra. Se você tiver um registro de aplicação existente para acesso doWorkforce (usuário humano), recomendamos que você registre um aplicação separado para acesso do Workload.
Registrar um aplicação
Navegue até App registrations.
Em seu Azure portal do conta, Atlas Search e clique Microsoft Entra ID em .
Na seção Manage da navegação à esquerda, clique em App registrations.
Clique em New registration.
Aplique os seguintes valores.
CampoValorName
MongoDB - Workload
Supported Account Types
Accounts in this organizational directory only (single tenant)
Redirect URI
Web
(Opcional) Adicionar reivindicação de grupos
Para o acesso a aplicação , é uma prática recomendada usar identificadores de entidade de serviço como identificadores de usuário do MongoDB ao definir direitos de acesso em sistemas autogerenciados do MongoDB . Se você planeja usar essa abordagem comum, pule esta etapa. No entanto, se preferir usar identificadores de grupo, como o identificador do Grupo de Segurança do Azure AD, você pode definir a reivindicação de grupos no registro do aplicação com as etapas abaixo.
Navegue até Token Configuration.
Na seção Manage da navegação à esquerda, clique em Token Configuration.
Clique em Add groups claim.
No modal Edit groups claim, selecione Security.
Quais grupos você seleciona dependem do tipo de grupos que você configurou em seu ambiente Azure. Talvez seja necessário selecionar um tipo diferente de grupo para enviar as informações apropriadas do grupo.
Na seção Customize token properties by type , certifique-se de selecionar apenas Group ID.
Quando você seleciona Group ID, o Azure envia o ID de objeto do grupo de segurança.
Clique em Add.
Para saber mais sobre como adicionar uma declaração de grupo, consulte Documentação do Azure.
Habilitar um URI de ID de aplicativo
Navegue até Expose an API na barra lateral esquerda e ative o URI do ID do aplicativo.
Ative um URI de ID de aplicativo.
Mantenha o URI de ID de aplicativo padrão atribuído pelo Azure, que é
<application_client_id>
. Copie e armazene esse valor, pois os MongoDB autogerenciados e todos os drivers do MongoDB exigem esse valor para a configuração do Workload Identity Federation.
Atualizar o manifesto
Na seção Manage da navegação à esquerda, clique em Manifest.
Atualize o accessTokenAcceptedVersion de
null
para2
.O número
2
representa a Versão 2 dos tokens de acesso da Microsoft. Outros aplicativos podem usar isso como prova da identidade do usuário gerenciado pelo Active Directory. A versão 2 garante que o token seja um JSON Web Token que o MongoDB entenda.Clique em Save.
Para saber mais sobre como adicionar uma reivindicação opcional, consulte Documentação do Azure.
Lembre-se de metadados
Na navegação à esquerda, clique em Overview.
Na navegação superior, clique em Endpoints.
Copie o valor OpenID Connect metadata document, excluindo
/.well-known/openid-configuration
.Você também pode recuperar este valor seguindo a URL do OpenID Connect metadata document e copiando o valor para
issuer
.
A tabela a seguir mostra o que esses valores da interface do usuário do Microsoft Entra ID são mapeados no oidcIdentityProviders
parâmetro MongoDB:
IU do Microsoft Entra ID | Campo de parâmetro do MongoDB oidcIdentityProviders |
---|---|
OpenID Connect metadata document (without /.well-known/openid-configuration) |
|
Application ID URI |
|
Você não precisa fazer nenhuma alteração de configuração em sua conta de serviço do Google Cloud Platform.