自管理部署的身份验证
注意
从 MongoDB 8.0 开始,LDAP 认证和授权已被弃用。LDAP 仍将可用,并且将在 MongoDB 8 的整个生命周期中继续运行而无需更改。在未来的一次重大版本更新中,LDAP 将被移除。
有关详细信息,请参阅LDAP 弃用.
认证是验证客户端身份的过程。当启用访问控制(授权)时,MongoDB 要求所有客户端进行身份验证,以确定其访问权限。
尽管认证和 授权 密切相关,但认证与授权是不同的
认证 验证 用户 的身份。
授权 确定已验证用户对资源和操作的访问权限。
入门
要开始使用访问控制,请按照以下教程操作
身份验证机制
SCRAM 身份验证
加盐挑战响应身份验证机制(SCRAM) 是 MongoDB 的默认身份验证机制。
有关 SCRAM 和 MongoDB 的更多信息,请参阅
x.509 证书身份验证
MongoDB 支持用于客户端身份验证和副本集成员以及分片集群内部身份验证的 x.509 证书身份验证。x.509 证书身份验证需要安全的 TLS/SSL 连接。
要使用 MongoDB 与 x.509,您必须使用由证书颁发机构生成和签名的有效证书。客户端 x.509 证书必须满足 客户端证书要求。
有关 x.509 和 MongoDB 的更多信息,请参阅
凯beros身份验证
MongoDB Enterprise 支持使用Kerberos 身份验证。Kerberos 是一种行业标准身份验证协议,用于大型客户端/服务器系统,它使用称为票据的短暂令牌进行身份验证。
要使用 MongoDB 与 Kerberos,您必须有一个正确配置的 Kerberos 部署,为 MongoDB 配置Kerberos 服务主体,并将一个Kerberos 用户主体添加到 MongoDB。
有关 Kerberos 和 MongoDB 的更多信息,请参阅
LDAP 代理身份验证
MongoDB Enterprise 和 MongoDB Atlas 支持通过轻量级目录访问协议(LDAP)服务进行LDAP 代理身份验证。
有关 Kerberos 和 MongoDB 的更多信息,请参阅
这些机制允许 MongoDB 集成到现有的身份验证系统中。
OpenID Connect 身份验证
MongoDB 企业版支持 OpenID Connect 身份验证。OpenID Connect 是建立在 OAuth2 之上的一个身份验证层。您可以使用 OpenID Connect 配置 MongoDB 数据库与第三方身份提供者之间的单点登录。
有关 OpenID Connect 和 MongoDB 的更多信息,请参阅
内部/会员身份验证
除了验证客户端的身份外,MongoDB 还可以要求复制集和分片集群的成员验证其成员资格,以验证其各自的复制集或分片集群。有关更多信息,请参阅自管理内部/会员身份验证。