Menu Docs
Página inicial do Docs
/
Manual do MongoDB
/
Sistemas autogerenciados
/
Segurança
/
Autenticação
/
OIDC/OAuth 2.0
/
Volume de trabalho (aplicativos)

Configurar um provedor de identidade externo

Nesta página

  • Sobre esta tarefa
  • Antes de começar
  • Passos

Para configurar o Workload Identity Federation usando o OAuth 2.0, registre seu aplicação OAuth 2.0 com um provedor de identidade externo, como o Microsoft Azure ou o Google Cloud Platform (GCP). Isso permite a autenticação segura e simplifica o gerenciamento de usuários.

Sobre esta tarefa

O Workload Identity Federation usa tokens de acesso OAuth2.0. Esses tokens podem ser emitidos por qualquer provedor de identidade externo .

Os procedimentos a seguir configuram o Microsoft Azure Entra ID e o Google Cloud Platform como provedores de identidade externos para o MongoDB.

Antes de começar

  • Para usar o Microsoft Azure como um provedor de identidade, você deve ter uma conta do Microsoft Azure.

  • Para usar o Google Cloud como provedor de identidade, você deve ter uma conta do Google Cloud.

Passos

Para acessar instâncias autogerenciadas do MongoDB com o Azure Managed Identities ou o Azure Service Principals, você precisa registrar um aplicação de ID do Azure Entra. Se você tiver um registro de aplicação existente para acesso doWorkforce (usuário humano), recomendamos que você registre um aplicação separado para acesso do Workload.

1

Registrar um aplicação

  1. Navegue até App registrations.

    1. Em seu Azure portal do conta, Atlas Search e clique Microsoft Entra ID em .

    2. Na seção Manage da navegação à esquerda, clique em App registrations.

  2. Clique em New registration.

  3. Aplique os seguintes valores.

    Campo
    Valor
    Name
    MongoDB - Workload
    Supported Account Types
    Accounts in this organizational directory only (single tenant)
    Redirect URI
    Web
2

(Opcional) Adicionar reivindicação de grupos

Para o acesso a aplicação , é uma prática recomendada usar identificadores de entidade de serviço como identificadores de usuário do MongoDB ao definir direitos de acesso em sistemas autogerenciados do MongoDB . Se você planeja usar essa abordagem comum, pule esta etapa. No entanto, se preferir usar identificadores de grupo, como o identificador do Grupo de Segurança do Azure AD, você pode definir a reivindicação de grupos no registro do aplicação com as etapas abaixo.

  1. Navegue até Token Configuration.

    Na seção Manage da navegação à esquerda, clique em Token Configuration.

  2. Clique em Add groups claim.

  3. No modal Edit groups claim, selecione Security.

    Quais grupos você seleciona dependem do tipo de grupos que você configurou em seu ambiente Azure. Talvez seja necessário selecionar um tipo diferente de grupo para enviar as informações apropriadas do grupo.

  4. Na seção Customize token properties by type , certifique-se de selecionar apenas Group ID.

    Quando você seleciona Group ID, o Azure envia o ID de objeto do grupo de segurança.

  5. Clique em Add.

    Para saber mais sobre como adicionar uma declaração de grupo, consulte Documentação do Azure.

3

Habilitar um URI de ID de aplicativo

  1. Navegue até Expose an API na barra lateral esquerda e ative o URI do ID do aplicativo.

  2. Ative um URI de ID de aplicativo.

    Mantenha o URI de ID de aplicativo padrão atribuído pelo Azure, que é <application_client_id>. Copie e armazene esse valor, pois os MongoDB autogerenciados e todos os drivers do MongoDB exigem esse valor para a configuração do Workload Identity Federation.

4

Atualizar o manifesto

  1. Na seção Manage da navegação à esquerda, clique em Manifest.

  2. Atualize o accessTokenAcceptedVersion de null para 2.

    O número 2 representa a Versão 2 dos tokens de acesso da Microsoft. Outros aplicativos podem usar isso como prova da identidade do usuário gerenciado pelo Active Directory. A versão 2 garante que o token seja um JSON Web Token que o MongoDB entenda.

  3. Clique em Save.

Para saber mais sobre como adicionar uma reivindicação opcional, consulte Documentação do Azure.

5

Lembre-se de metadados

  1. Na navegação à esquerda, clique em Overview.

  2. Na navegação superior, clique em Endpoints.

    Copie o valor OpenID Connect metadata document, excluindo /.well-known/openid-configuration.

    Você também pode recuperar este valor seguindo a URL do OpenID Connect metadata document e copiando o valor para issuer.

A tabela a seguir mostra o que esses valores da interface do usuário do Microsoft Entra ID são mapeados no oidcIdentityProviders parâmetro MongoDB:

IU do Microsoft Entra ID
Campo de parâmetro do MongoDB oidcIdentityProviders
OpenID Connect metadata document (without /.well-known/openid-configuration)
issuer
Application ID URI
audience

Você não precisa fazer nenhuma alteração de configuração em sua conta de serviço do Google Cloud.

Voltar

Volume de trabalho (aplicativos)

Próximo

Configurar MongoDB com Federação de Identidade de Volume de Trabalho