Descontinuação do LDAP
Nesta página
A partir do MongoDB 8.0, A autenticação e autorização LDAP estão obsoletas. O LDAP está disponível e continuará a operar sem alterações durante a vida útil do MongoDB 8. O LDAP será removido em uma futura versão principal.
Você deve planejar a migração do LDAP para um método de autenticação alternativo.
Informações completas sobre a migração do LDAP estarão disponíveis no futuro.
Detalhes
As seções a seguir introduzem métodos de autenticação alternativos para Enterprise Advanced autogerenciado , MongoDB Atlas e MongoDB Atlas para governo.
Enterprise Advanced
Para acesso de usuário humano, o MongoDB recomenda migrar do LDAP para o Workforce Identity Federation (autenticação OIDC). O Workforce Identity Federation permite o acesso com logon único (SSO) aos seus bancos de dados MongoDB autogerenciados usando qualquer provedor de identidade compatível com OIDC, como o Microsoft Active Directory Federation Services (ADFS), o Microsoft Entra ID, o Okta e o Ping Identity.
Para usuários programáticos, o MongoDB recomenda migrar do LDAP para o Workload Identity Federation. Com o Workload Identity Federation, seus aplicativos podem usar bancos de dados com tokens de acesso OAuth 2.0 fornecidos pelo serviço de autorização .
Você também pode usar provedor de nuvem , como contas de serviço do Microsoft Azure Managed Identity e da Google Cloud Platform (GCP). Se você não puder usar o Workload Identity Federation, o MongoDB recomenda que você use x. Autenticação do certificado 509.
Para configurar a Federação de Identidade da Força de Trabalho (autenticação OIDC) com o servidor MongoDB , consulte Configurar o MongoDB com a Federação de Identidade da Força de Trabalho.
Para configurar o Workload Identity Federation (OAuth)2.0 com o servidor MongoDB , consulte Configurar o MongoDB com o Workload Identity Federation.
Para configurar a Federação de Identidade da Força de Trabalho e da Carga de Trabalho com o MongoDB Cloud Manager, consulte Habilitar Autenticação e Autorização com o Cloud Manager.
Para configurar a Federação de Identidade da Força de Trabalho e da Carga de Trabalho com o MongoDB Ops Manager, consulte Habilitar autenticação e autorização com o Ops Manager.
Algumas das vantagens do Workforce and Workload Identity Federation em comparação com o LDAP para uma implantação autogerenciada do MongoDB são:
Nenhuma credencial armazenada no MongoDB: As credenciais de usuário vinculadas ao LDAP são armazenadas no MongoDB. Com o Workforce ou o Workload Identity Federation, o MongoDB não armazena credenciais ou segredos que concedam acesso a diretórios de usuários.
Risco entre aplicativos reduzido: em uma conexão LDAP, as credenciais LDAP do usuário são enviadas ao MongoDB dentro da string de conexão, o que é um risco para o acesso entre aplicativos. No entanto, com a Federação de Identidade da Força de Trabalho e do Volume de Trabalho, o MongoDB nunca recebe um segredo. OIDC e OAuth 2.0 concedem tokens de acesso para recursos específicos usando declarações de público. Se um token estiver comprometido, o token não poderá ser usado para acessar outros aplicativos.
Maior segurança com tokens de acesso: o Identity Federation concede acesso por meio de tokens de acesso de curto termo , o que melhora a segurança em comparação com o LDAP. Os tokens de acesso normalmente são válidos por uma hora. O período de tempo geralmente pode ser personalizado com base no provedor de identidade.
Autenticação sem senhas para usuários do aplicação : se seus aplicativos estiverem sendo executados na nuvem, o Workload Identity Federation permitirá a autenticação sem senhas para aplicativos executados em recursos específicos da nuvem. Isso elimina a renovação periódica de credenciais.
MongoDB Atlas e Atlas para o governo
Para acesso de usuário humano, o MongoDB recomenda migrar do LDAP para o Workforce Identity Federation (autenticação OIDC). O Workforce Identity Federation permite o acesso de logon único (SSO) aos seus Atlas clusters com qualquer provedor de identidade compatível com OIDC, como Microsoft Entra ID, Okta e Ping Identity.
Para usuários programáticos, o MongoDB recomenda migrar do LDAP para autenticação do Amazon AWS-IAM ou Workload Identity Federation. Se seus aplicativos estiverem sendo executados em Amazon Web Services recursos do Amazon Web Services, você poderá usar Amazon Web Serviceso Amazon Web Services -A autenticação IAM para acessar seus clusters do MongoDB Atlas com funções do Amazon Web Amazon Web ServicesServices -IAM.
Se seus aplicativos estiverem em execução nos sistemas Microsoft Azure ou Google Cloud Platform, você poderá usar o Workload Identity Federation para acessar clusters do Atlas com identidades gerenciadas do Microsoft Azure ou contas de serviço do Google Cloud Platform. Se você não puder usar o AWS-IAM ou o Workload Identity Federation, o MongoDB recomenda usar x. Autenticação do certificado 509.
Para começar a usar a Federação de Identidade da Força de Trabalho e da Carga de Trabalho, consulte Autenticação e Autorização com OIDC/OAuth 2.0 no Atlas.
Para começar a usar a autenticação do AWS-IAM, consulte Configurar autenticação com o AWS-IAM.
Algumas das vantagens do Workforce and Workload Identity Federation em comparação com o LDAP no Atlas são:
Segurança de rede aprimorada: o LDAP requer um nome de domínio totalmente qualificado (FQDN) público, que cria uma possível vulnerabilidade de firewall . Com o Workforce Identity Federation, você pode usar um provedor de identidade (IdP) conectado à Internet e sincronizar parte do diretório de usuários com o seu IdP para melhorar a segurança com o Workforce Identity Federation.
Tratamento aprimorado de credenciais: diferentemente do LDAP, as credenciais de usuário não são enviadas ou armazenadas no MongoDB ao usar o Workforce ou o Workload Identity Federation.
Políticas de autenticação modernas para usuários humanos: o Workforce Identity Federation permite a autenticação por meio do IdP, o que habilita o uso de políticas de autenticação modernas.
Configuração simples: Os usuários LDAP exigem uma configuração de rede complexa para o Atlas. O Identity Federation tem uma configuração mais simples.
Maior segurança com tokens de acesso: a Federação de Identidade da Força de Trabalho e a Carga de Trabalho e a autenticação do AWS-IAM concedem acesso por meio de tokens de acesso de curto termo , o que melhora a segurança em comparação com o LDAP. Os tokens de acesso normalmente são válidos por uma hora. O período de tempo geralmente pode ser personalizado com base no provedor de identidade.
Autenticação sem senhas para usuários de aplicação : o Workload Identity Federation oferece suporte à autenticação sem senhas para aplicativos executados em recursos específicos da nuvem. Isso elimina a renovação periódica de credenciais.
Eficiência de custos: para suporte do Atlas Developer e Pro, o LDAP tem uma taxa como parte do pacote Advanced Security. A Força de Trabalho e a Federação de Identidade de Volume de Trabalho não têm uma taxa adicional. Para preços, consulte: