自管理部署上的身份验证
注意
从MongoDB 8.0开始, LDAP身份验证和授权已弃用。 LDAP可用并将在MongoDB 8的整个生命周期内继续运行而不进行更改。 LDAP将在未来的主要发布中删除。
有关详细信息,请参阅 LDAP弃用。
身份验证是验证客户端身份的过程。启用访问控制(授权)后,MongoDB 要求所有客户端进行身份验证,从而确定其访问权限。
虽然身份验证和授权密切相关,但二者扔有区别:
身份验证验证用户身份。
授权确定经过验证的用户对资源和操作的访问权限。
您可以通过用户界面为 MongoDB Atlas 中托管的部署配置身份验证。
开始体验
请参阅这些教程开始使用访问控制:
身份验证机制
SCRAM 身份验证
Salted 质询响应身份验证机制 (SCRAM) 是 MongoDB 的默认身份验证机制。
有关 SCRAM 和 MongoDB 的更多信息,请参阅:
基于 x.509 证书的身份验证
MongoDB 支持将 x.509 证书身份验证用于客户端身份验证,以及副本集和分片集群成员的内部身份验证。x.509 证书身份验证需要安全的 TLS/SSL 连接。
要将 MongoDB 与 x.509 结合使用,您必须使用由证书授权机构生成和签名的有效证书。客户端 x.509 证书必须符合客户端证书要求。
有关 x.509 和 MongoDB 的更多信息,请参阅:
Kerberos 身份验证
MongoDB Enterprise支持Kerberos 身份验证。 Kerberos 是一种适用于大型客户端/服务器系统的行业标准身份验证协议,它使用称为票证的短期令牌提供身份验证。
要将 MongoDB 与 Kerberos 结合使用,您必须正确配置 Kerberos 部署、为 MongoDB 配置 Kerberos 服务主体,并将 Kerberos 用户主体添加到 MongoDB。
有关 Kerberos 和 MongoDB 的更多信息,请参阅:
LDAP 代理身份验证
MongoDB Enterprise和MongoDB Atlas通过轻量级目录访问协议 (LDAP) 服务支持LDAP 代理身份验证代理身份验证。
有关 Kerberos 和 MongoDB 的更多信息,请参阅:
这些机制允许 MongoDB 集成到您的当前身份验证系统中。
OpenID Connect 身份验证
MongoDB Enterprise 支持 OpenID Connect 身份验证。OpenID Connect 是构建在 OAuth2 之上的身份验证层。您可以使用 OpenID Connect 配置 MongoDB 数据库和第三方身份提供商之间的单点登录。
有关 OpenID Connect 和 MongoDB 的更多信息,请参阅:
内部/会员身份验证
除了验证客户端的身份外,MongoDB 还可以要求副本集和分片集群的成员验证其各自副本集或分片集群的成员身份。有关更多信息,请参阅自管理内部/成员身份验证。