Menu Docs
Página inicial do Docs
/
Manual do MongoDB
/ / /

createUser

Nesta página

  • Definição
  • Compatibilidade
  • Sintaxe
  • Comportamento
  • Acesso necessário
  • Exemplo
createUser

Cria um novo usuário no banco de dados onde você executa o comando. O comando createUser retorna um erro de usuário duplicado caso o usuário exista.

Dica

Em mongosh, esse comando também pode ser executado por meio do método assistente db.createUser() .

Os métodos auxiliares são práticos para os usuários mongosh, mas podem não retornar o mesmo nível de informações que os comandos do banco de dados. Nos casos em que a praticidade não for necessária ou os campos de retorno adicionais forem necessários, use o comando de banco de dados.

Esse comando está disponível em implantações hospedadas nos seguintes ambientes:

  • MongoDB Atlas: o serviço totalmente gerenciado para implantações do MongoDB na nuvem

Importante

Este comando não é suportado em M0, M2, M5 e M10+ clusters. Para obter mais informações, consulte Comandos não suportados.

  • MongoDB Enterprise: a versão autogerenciada e baseada em assinatura do MongoDB

  • MongoDB Community: uma versão com código disponível, de uso gratuito e autogerenciada do MongoDB

O comando tem a seguinte sintaxe:

Dica

Você pode usar o método passwordPrompt() em conjunto com vários métodos e comandos de gerenciamento de autenticação de usuário para solicitar a senha em vez de especificar a senha diretamente na chamada de método ou comando. No entanto, você ainda pode especificar a senha diretamente como faria com versões anteriores do shell mongo.

db.runCommand(
{
createUser: "<name>",
pwd: passwordPrompt(), // Or "<cleartext password>"
customData: { <any information> },
roles: [
{ role: "<role>", db: "<database>" } | "<role>",
...
],
writeConcern: { <write concern> },
authenticationRestrictions: [
{ clientSource: [ "<IP|CIDR range>", ... ], serverAddress: [ "<IP|CIDR range>", ... ] },
...
],
mechanisms: [ "<scram-mechanism>", ... ],
digestPassword: <boolean>,
comment: <any>
}
)

createUser tem os seguintes campos:

Campo
Tipo
Descrição

createUser

string

O nome do novo usuário.

pwd

string

A senha do usuário. O pwd campo não é exigido se você executar o createUser no $external banco de banco de dados do para criar usuários que têm credenciais armazenadas externamente no MongoDB.

O valor pode ser:

  • A senha do usuário na string de texto não criptografado

  • passwordPrompt(), para solicitar a senha do usuário

Você pode usar o método passwordPrompt() em conjunto com vários métodos e comandos de gerenciamento de autenticação de usuário para solicitar a senha em vez de especificar a senha diretamente na chamada de método ou comando. No entanto, você ainda pode especificar a senha diretamente como faria com versões anteriores do shell mongo.

customData

documento

Opcional. Qualquer informação arbitrária. Este campo pode ser usado para armazenar quaisquer dados que um administrador deseja associar a este usuário específico. Por exemplo, este pode ser o nome completo do usuário ou ID do funcionário.

roles

array

As funções concedidas ao usuário. Pode especificar uma array vazia [] para criar usuários sem papéis.

digestPassword

booleano

Opcional. Indica se o servidor ou o cliente digere a senha.

Se verdadeiro, o servidor recebe senha não digerida do cliente e digere a senha.

Se falso, o cliente digere a senha e passa a senha digerida para o servidor. Não compatível com SCRAM-SHA-256

O valor padrão é true.

writeConcern

documento

Opcional. O nível da write concern para a operação. Consulte Especificação de write concern.

authenticationRestrictions

array

Opcional. As restrições de autenticação que o servidor impõe ao usuário criado. Especifica uma lista de endereços IP e intervalos CIDR a partir dos quais o usuário tem permissão para se conectar ao servidor ou a partir dos quais o servidor pode aceitar usuários.

mechanisms

array

Opcional. Especifique o mecanismo ou mecanismos específicos do SCRAM para criar credenciais de usuário do SCRAM. Se authenticationMechanisms for especificado, você só poderá especificar um subconjunto do authenticationMechanisms.

Os valores válidos são:

  • "SCRAM-SHA-1"

  • Utiliza a função de hash SHA-1.

  • "SCRAM-SHA-256"

  • Utiliza a função de hash SHA-256.

  • Exige featureCompatibilityVersion definido para 4.0.

  • Requer que digestPassword seja true.

O padrão para featureCompatibilityVersion é 4.0 é SCRAM-SHA-1 e SCRAM-SHA-256.

O padrão para featureCompatibilityVersion é 3.6 é SCRAM-SHA-1.

digestPassword

booleano

Opcional. Indica se o servidor ou o cliente digere a senha.

Se verdadeiro, o servidor recebe senha não digerida do cliente e digere a senha.

Se falso, o cliente digere a senha e passa a senha digerida para o servidor. Não compatível com SCRAM-SHA-256

O valor padrão é true.

comment

any

Opcional. Um comentário fornecido pelo usuário para anexar a este comando. Depois de definido, esse comentário aparece junto com os registros desse comando nos seguintes locais:

Um comentário pode ser qualquer tipo BSON válido (string, inteiro, objeto, array etc).

No campo roles, é possível especificar roles incorporadas e roles definidas pelo usuário.

Para especificar uma função que existe no mesmo banco de dados onde o createUser é executado, você pode especificar a função com o próprio nome dela:

"readWrite"

Ou você pode especificar a role com um documento, como feito a seguir:

{ role: "<role>", db: "<database>" }

Para especificar uma role existente em outro banco de dados, especifique-a com um documento.

O documento authenticationRestrictions pode conter apenas os seguintes campos. O servidor emitirá um erro se o documento authenticationRestrictions contiver um campo não reconhecido:

Nome do campo
Valor
Descrição

clientSource

Array de endereços IP e/ou faixas CIDR

Se presente, ao autenticar um usuário, o servidor verifica se o endereço IP do cliente está na lista fornecida ou se pertence a uma faixa CIDR na lista. Se o endereço IP do cliente não estiver presente, o servidor não autenticará o usuário.

serverAddress

Array de endereços IP e/ou faixas CIDR

Uma lista de endereços IP ou faixas CIDR às quais o cliente pode se conectar. Se estiver presente, o servidor verificará se a conexão do cliente foi aceita por meio de um endereço IP na lista fornecida. Se a conexão foi aceita por meio de um endereço IP não reconhecido, o servidor não autenticará o usuário.

Importante

Se um usuário herdar múltiplas roles com restrições de autenticação incompatíveis, esse usuário se tornará inutilizável.

Por exemplo, se um usuário herdar uma função na qual o campo clientSource é ["198.51.100.0"] e outra função na qual o campo clientSource é ["203.0.113.0"], o servidor não poderá autenticar o usuário.

Para obter mais informações sobre autenticação no MongoDB, consulte Autenticação em implementações autogerenciadas.

O MongoDB atribui automaticamente um userId exclusivo ao usuário na criação.

Aviso

Por padrão, createUser envia todos os dados especificados para a instância do MongoDB em texto não criptografado, mesmo se estiver usando passwordPrompt(). Use a criptografia de transporte TLS para proteger as comunicações entre clientes e o servidor, incluindo a senha enviada pelo createUser. Para obter instruções sobre como habilitar a criptografia de transporte TLS, consulte Configurar mongod e mongos para TLS/SSL.

O MongoDB não armazena a senha no cleartext. A senha só estará vulnerável em trânsito entre o cliente e o servidor e somente se a criptografia de transporte TLS não estiver habilitada.

Os usuários criados no banco de dados do $external devem ter credenciais armazenadas externamente no MongoDB, como, por exemplo, com instalações do MongoDB Enterprise que utilizam Kerberos.

Para usar Client Sessions e Causal Consistency Guarantees com usuários de autenticação $external (usuários Kerberos, LDAP ou x.509), os nomes de usuário não podem ter mais de 10k bytes.

Você não pode criar usuários no banco de dados local.

Os nomes de usuário devem conter pelo menos um caractere e não podem ser maiores que 7 MB.

Os papéis embutidos do userAdmin e userAdminAnyDatabase fornecem ações do createUser e grantRole em seus respectivos recursos.

O comando createUser a seguir cria um usuário accountAdmin01 no banco de dados products. O comando fornece a accountAdmin01 as funções clusterAdmin e readAnyDatabase no banco de dados admin e a função readWrite no banco de dados products:

Dica

Você pode usar o método passwordPrompt() em conjunto com vários métodos e comandos de gerenciamento de autenticação de usuário para solicitar a senha em vez de especificar a senha diretamente na chamada de método ou comando. No entanto, você ainda pode especificar a senha diretamente como faria com versões anteriores do shell mongo.

db.getSiblingDB("products").runCommand( {
createUser: "accountAdmin01",
pwd: passwordPrompt(),
customData: { employeeId: 12345 },
roles: [
{ role: "clusterAdmin", db: "admin" },
{ role: "readAnyDatabase", db: "admin" },
"readWrite"
],
writeConcern: { w: "majority" , wtimeout: 5000 }
} )

Voltar

Gerenciamento de usuários