LDAP 弃用
本页内容
从 MongoDB 8.0 开始,LDAP 身份验证和授权已被弃用。LDAP 将在整个 MongoDB 8 生命周期中可用且将继续无变化运行。LDAP 将在未来主要版本中删除。
您应计划从 LDAP 迁移到其他身份验证方法。
未来将提供完整的 LDAP 迁移信息。
详细信息
以下部分介绍了为自管理MongoDB Enterprise Advanced、MongoDB Atlas和MongoDB Atlas for Government提供的替代身份验证方法。
自管理MongoDB Enterprise Advanced
对于人类用户访问,MongoDB建议从LDAP迁移到工作身份联盟(OIDC身份验证)。工作身份联盟允许使用支持OIDC的任何身份提供者(如Microsoft Active Directory Federation Services (ADFS)、Microsoft Entra ID、Okta和Ping Identity)进行单一登录(SSO)访问您的自管理MongoDB数据库。
对于程序性用户,MongoDB建议从LDAP迁移到工作负载身份联盟。使用工作负载身份联盟,您的应用程序可以使用由您的授权服务提供的OAuth 2.0访问令牌使用数据库。
您还可以使用云服务提供商的身份(如Microsoft Azure托管身份和Google Cloud Platform (GCP)服务帐户)。如果您无法使用工作负载身份联盟,MongoDB建议您使用x.509证书身份验证。
有关使用MongoDB服务器配置工作身份联盟(OIDC身份验证)的信息,请参阅使用工作身份联盟配置MongoDB.
有关使用MongoDB服务器配置工作负载身份联盟(OAuth2.0)的信息,请参阅使用工作负载身份联盟配置MongoDB。
有关使用MongoDB云管理器配置工作身份和工作负载身份联盟的信息,请参阅使用云管理器启用身份验证和授权.
有关使用MongoDB Ops Manager配置工作身份和工作负载身份联盟的信息,请参阅使用Ops Manager启用身份验证和授权。
与LDAP相比,工作身份和工作负载身份联盟在自管理MongoDB部署中的一些优点包括
在MongoDB中未存储凭据: LDAP绑定用户凭据存储在MongoDB中。使用Workforce或Workload Identity Federation时,MongoDB不会存储授予用户目录访问权限的凭据或机密。
降低跨应用风险: 在LDAP连接中,用户的LDAP凭据会在连接字符串中发送到MongoDB,这可能会对跨应用访问造成风险。然而,使用Workforce和Workload Identity Federation时,MongoDB永远不会收到任何秘密。OIDC和OAuth 2.0使用受众声明为特定资源提供访问令牌。如果令牌被泄露,则该令牌无法用于访问其他应用程序。
使用访问令牌提高安全性: 身份联盟通过短期访问令牌提供访问权限,与LDAP相比,这提高了安全性。访问令牌通常有效期为一个小时。该时间段通常可以根据身份提供者进行自定义。
应用程序用户无需密码进行身份验证: 如果您的应用程序在云中运行,Workload Identity Federation支持在特定云资源上运行的应用程序进行无密码身份验证。这消除了定期更新凭据的需求。
MongoDB Atlas和Atlas for Government
对于人类用户访问,MongoDB建议从LDAP迁移到Workforce Identity Federation(OIDC身份验证)。Workforce Identity Federation允许使用任何支持OIDC的身份提供者(如Microsoft Entra ID、Okta和Ping Identity)进行单一登录(SSO)访问您的Atlas集群。
对于程序化用户,MongoDB建议从LDAP迁移到Amazon AWS-IAM身份验证或Workload Identity Federation。如果您的应用程序运行在AWS资源上,您可以使用AWS-IAM身份验证通过AWS-IAM角色访问MongoDB Atlas集群。
如果您的应用程序运行在Microsoft Azure或Google Cloud Platform系统上,您可以使用Workload Identity Federation使用Microsoft Azure托管标识或Google Cloud Platform服务帐户访问Atlas集群。如果您无法使用AWS-IAM或Workload Identity Federation,MongoDB建议使用x.509证书身份验证。
要开始使用Workforce和Workload Identity Federation,请参阅在Atlas中使用OIDC/OAuth 2.0进行身份验证和授权。
要开始使用AWS-IAM身份验证,请参阅设置AWS-IAM身份验证。
与LDAP相比,Workforce和Workload Identity Federation在Atlas中的一些优点包括
提高网络安全: LDAP需要公共完全限定域名(FQDN),这可能会创建一个潜在的防火墙漏洞。使用Workforce Identity Federation,您可以使用连接到互联网的身份提供者(IdP)并将用户目录的一部分同步到您的IdP,以通过Workforce Identity Federation提高安全性。
改进凭据处理: 与LDAP不同,在使用Workforce或Workload Identity Federation时,用户凭据不会被发送到或存储在MongoDB中。
为人类用户提供现代身份验证策略: Workforce Identity Federation允许通过IdP进行身份验证,这使您能够使用现代身份验证策略。
简单配置:LDAP用户需要为Atlas进行复杂的网络配置。身份联合配置更简单。
通过访问令牌提高安全性:工作力量身认证和工作负载身份联合以及AWS-IAM认证通过短期访问令牌提供访问权限,与LDAP相比,这提高了安全性。访问令牌通常有效期为一个小时。根据身份提供者,时间周期通常可以自定义。
为应用程序用户无密码认证:工作负载身份联合支持在特定云资源上运行的应用程序的密码无认证。这消除了定期更新凭证的需要。
成本效益:对于Atlas开发者版和专业版支持,LDAP作为高级安全套餐的一部分需要付费。工作力量身认证和工作负载身份联合没有额外费用。有关价格,请参阅