Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El núcleo virtual de Azure Cosmos DB para MongoDB admite la integración con microsoft Entra ID y la autenticación nativa de DocumentDB. Cada clúster de núcleo virtual de Azure Cosmos DB para MongoDB se crea con la autenticación nativa de DocumentDB habilitada y un usuario administrativo integrado.
Puede habilitar la autenticación de Microsoft Entra ID en un clúster, junto con el método de autenticación nativo de DocumentDB o en su lugar. Puede configurar métodos de autenticación en cada clúster de núcleo virtual de Azure Cosmos DB para MongoDB de forma independiente. Si necesita cambiar el método de autenticación, puede hacerlo en cualquier momento después de que se complete el aprovisionamiento del clúster. El cambio de métodos de autenticación no requiere el reinicio del clúster.
Autenticación de Microsoft Entra ID
La autenticación de Microsoft Entra ID es un mecanismo de conexión a Azure Cosmos DB para MongoDB con vCore utilizando identidades definidas en Microsoft Entra ID. Con la autenticación de Microsoft Entra ID, puede administrar identidades de usuario de base de datos y otros servicios de Microsoft en una ubicación central, lo que simplifica la gestión de permisos y el cumplimiento de los servicios de identidad.
Entre las ventajas de usar el identificador de Entra de Microsoft para la autenticación se incluyen:
Autenticación de usuarios en servicios de Azure de forma uniforme
Administración de directivas de contraseñas y rotación de contraseñas en un solo lugar.
Microsoft Entra ID admite varias formas de autenticación, lo que puede eliminar la necesidad de almacenar contraseñas.
Compatibilidad con la autenticación basada en tokens para aplicaciones que se conectan a azure Cosmos DB para clústeres de núcleo virtual de MongoDB
La interoperabilidad con controladores de MongoDB se proporciona a través de la compatibilidad con OpenID Connect (OIDC) en Microsoft Entra ID. OIDC es un protocolo de autenticación basado en el protocolo OAuth2 que se usa para la autorización. OIDC usa los flujos de mensajes estandarizados desde OAuth2 para proporcionar servicios de identidad. Cuando necesite autenticarse en un clúster vCore de Azure Cosmos DB para MongoDB a través de Microsoft Entra ID, proporcione un token de seguridad de Microsoft Entra ID usando identificación OIDC.
Acceso administrativo y no administrativo para identidades de Microsoft Entra ID
Cuando se habilita la autenticación de Microsoft Entra ID en un clúster de Azure Cosmos DB for MongoDB vCore puede agregar uno o más principales de Microsoft Entra ID como usuarios administradores a ese clúster. El administrador del identificador de Microsoft Entra puede ser un usuario de Microsoft Entra ID, una entidad de servicio o una identidad administrada. Se pueden configurar varios administradores de id. de Microsoft Entra en cualquier momento.
Además, uno o varios usuarios no administrativos de Id. de Entra de Microsoft se pueden agregar a un clúster en cualquier momento una vez habilitada la autenticación de Id. de Microsoft Entra. Los usuarios no administrativos suelen usarse para tareas de producción en curso que no requieren privilegios administrativos.
Consideraciones
El clúster debe tener habilitada la autenticación nativa, o tanto la autenticación nativa como el identificador de Microsoft Entra habilitado. Microsoft Entra ID no puede ser el único método de autenticación habilitado en un clúster.
Varias identidades de Microsoft Entra ID se pueden configurar como administrador de Microsoft Entra ID para un clúster de Azure Cosmos DB for MongoDB en cualquier momento. Por ejemplo, puede configurar estos tipos de identidades para que todos los administradores del clúster sean simultáneamente:
- Identidades humanas
- Identidades administradas asignadas por el usuario
- Identidades administradas asignadas por el sistema
Sugerencia
Hay muchos otros tipos de identidades disponibles en microsoft Entra ID. Para obtener más información, consulte Aspectos básicos de la identidad.
Las entidades de Microsoft Entra ID son persistentes. Si se elimina una entidad de seguridad de Microsoft Entra ID del servicio de id. de Microsoft Entra, sigue siendo un usuario en el clúster, pero ya no puede adquirir un nuevo token de acceso. En este caso, aunque el rol coincidente todavía existe en el clúster, no se puede autenticar en los nodos del clúster. Los administradores de bases de datos tienen que transferir la propiedad y quitar esos roles manualmente.
Nota:
El inicio de sesión con un principal eliminado todavía puede producirse hasta que expire el token (hasta 90 minutos a partir de la emisión del token). Si también quita el usuario del clúster de Azure Cosmos DB for MongoDB vCore, este acceso se revoca inmediatamente.
Limitaciones
La característica de autenticación de Id. de Microsoft Entra tiene estas limitaciones actuales:
Esta característica no se admite en clústeres de réplica.
Esta característica no se admite en clústeres restaurados.
Esta característica no se admite con el shell de Mongo (
mongosh) ni con MongoDB Compass.
Contenido relacionado
- Desarrollo de una aplicación de consola con la autenticación de Microsoft Entra
- Implementación de una plantilla de aplicación web habilitada con Microsoft Entra
- Revisión de los fundamentos de Microsoft Entra ID
- Revisión de la compatibilidad de Open ID Connect (OIDC) en Microsoft Entra ID