SQL接口支持多种身份验证机制来连接到MongoDB 部署。此页面包括Atlas和自管理 MongoDB Enterprise部署支持的身份验证方法、组件兼容性和部署可用性。
身份验证支持矩阵
下表显示了每个SQL接口组件支持的身份验证机制:
组件 | SCRAM | x.509 | LDAP | GSSAPI | AWS IAM | OIDC |
|---|---|---|---|---|---|---|
MongoDB SQL模式构建器 | 是 | 是 | 是 | 是 | 是 | 是 |
ODBC 驱动程序 | 是 | 是 | 是 | 是 | 是 | 是 |
JDBC 驱动程序 | 是 | 是 | 是 | 是 | 是 | 是 |
Power BI Desktop | 是 | 是 | 是 | 是 | 是 | 是 |
Power BI网关 | 是 | No | No | No | No | No |
Tableau Desktop | 是 | 是 | 是 | 是 | 是 | 是 |
Tableau Server | 是 | 是 | No | No | No | No |
Tableau Cloud | 是 | No | No | No | No | No |
注意
并非所有第三方 BI工具都支持这些身份验证选项,尽管MongoDB驱动程序支持这些选项。测试要使用的功能,确认它们适用于您的特定BI工具。
部署兼容性矩阵
下表显示了每种MongoDB 部署类型可用的身份验证机制:
身份验证机制 | Atlas | |
|---|---|---|
SCRAM | 是 | 是 |
x.509 | 是 | 是 |
LDAP | No | 是 |
Kerberos (GSSAPI) | No | 是 |
AWS IAM | 是 | No |
OIDC | 是 | 是 |
重要
从MongoDB8.0 开始, LDAP身份验证和授权已弃用。 LDAP可用并将在整个MongoDB8 中继续运行而不进行更改,但将在未来的主要发布中删除。请考虑迁移到 OIDC 或其他受支持的身份验证机制。有关更多信息,请参阅LDAP弃用。
安全考虑因素
为SQL接口配置身份验证时,请考虑以下安全最佳实践:
使用强身份验证机制:尽可能首选 X.509 、OIDC 或Kerberos,而不是基于密码的身份验证。
启用 TLS加密:始终使用 TLS 保护传输中的凭证和数据。
遵循最小权限原则原则:仅授予用户执行任务所需的最低权限。
安全档案存储:切勿在连接字符串中对凭证进行硬编码。使用环境变量、凭证文件或安全凭证管理系统。
定期凭证轮换:定期轮换密码和证书。
监控身份验证事件:启用Atlas 审核记录以追踪身份验证尝试和失败。