Microsoft Entra ID-verificatie configureren voor een Azure Cosmos DB voor MongoDB vCore-cluster

2025-10-30
Van toepassing op: ✅ MongoDB (vCore)

In dit artikel leert u hoe u Microsoft Entra ID-verificatie configureert voor een Azure Cosmos DB voor MongoDB vCore. In de stappen in deze handleiding configureert u een bestaand Azure Cosmos DB voor MongoDB vCore-cluster voor het gebruik van Microsoft Entra ID-verificatie met uw menselijke identiteit (momenteel aangemeld account) of een Beveiligingsprincipal voor Microsoft Entra ID, zoals beheerde identiteit. Met Microsoft Entra ID-verificatie kunt u veilige en naadloze toegang tot uw database krijgen met behulp van de bestaande identiteiten van uw organisatie. Deze handleiding doorloopt de stappen voor het instellen van verificatie, het registreren van gebruikers of service-principals en het valideren van de configuratie.

Wanneer u een Azure Cosmos DB voor MongoDB vCore-cluster maakt, is het cluster standaard geconfigureerd voor het gebruik van systeemeigen verificatie. Als u verificatie wilt inschakelen met entra-id, schakelt u de entra-id-verificatiemethode in en voegt u Entra ID-gebruikers toe aan het cluster.

Vereiste voorwaarden

Een bestaand Azure Cosmos DB voor MongoDB-cluster (vCore).
- Als u geen Azure-abonnement hebt, maakt u gratis een account.
- Als u een bestaand Azure-abonnement hebt, maakt u een nieuw Azure Cosmos DB voor MongoDB vCore-cluster.

De nieuwste versie van de Azure CLI in Azure Cloud Shell.
- Als u liever CLI-referentieopdrachten lokaal uitvoert, meldt u zich aan bij de Azure CLI met behulp van de az login opdracht.

Identiteitsmetagegevens ophalen

Unieke id ophalen voor Entra ID-gebruikersbeheer

Haal eerst de unieke id op die wordt gebruikt voor het beheren van Entra ID-principals in het cluster.

Download de details voor het momenteel aangemelde account met behulp van az ad signed-in-user.
```
az ad signed-in-user show
```
Haal de details voor een ander account op met behulp van az ad user show.
```
az ad user show --id kai@adventure-works.com
```

Met de opdracht wordt een JSON-antwoord uitgevoerd dat verschillende velden bevat.

{
  "@odata.context": "<https://graph.microsoft.com/v1.0/$metadata#users/$entity>",
  "businessPhones": [],
  "displayName": "Kai Carter",
  "givenName": "Kai",
  "id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
  "jobTitle": "Senior Sales Representative",
  "mail": "<kai@adventure-works.com>",
  "mobilePhone": null,
  "officeLocation": "Redmond",
  "preferredLanguage": null,
  "surname": "Carter",
  "userPrincipalName": "<kai@adventure-works.com>"
}

Noteer de waarde van de id eigenschap. Deze eigenschap is de unieke id voor uw principal en wordt soms de principal-id genoemd. U gebruikt deze waarde in de volgende reeks stappen.

Beschrijvende naam ophalen met behulp van een unieke id

Als u een beschrijvende naam wilt ophalen met een unieke id, volgt u deze stappen.

Haal de details voor een ander account op met behulp van az ad user show.
```
az ad user show --id aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
```

Met de opdracht wordt een JSON-antwoord uitgevoerd dat verschillende velden bevat.

{
  "@odata.context": "<https://graph.microsoft.com/v1.0/$metadata#users/$entity>",
  "businessPhones": [],
  "displayName": "Kai Carter",
  "givenName": "Kai",
  "id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
  "jobTitle": "Senior Sales Representative",
  "mail": "<kai@adventure-works.com>",
  "mobilePhone": null,
  "officeLocation": "Redmond",
  "preferredLanguage": null,
  "surname": "Carter",
  "userPrincipalName": "<kai@adventure-works.com>"
}

Noteer de waarde van de mail en displayName eigenschappen.

Unieke id ophalen voor een Entra ID-service-principal

Als u een beheerde identiteit in uw toepassing wilt gebruiken of zich wilt aanmelden met entra-id-referenties in hulpprogramma's zoals de MongoDB-shell of Compass, moet u de principalID en de clientID beheerde identiteit ophalen.

Haal de details voor de beheerde identiteit op met behulp van een GET REST API-aanroep. Vervang variabelen die beginnen met $ het teken door de werkelijke waarden.

az rest --method "GET" --url "https://management.azure.com/subscriptions/$subscription-id/resourcegroups/$resource-group-name/providers/microsoft.managedidentity/userassignedidentities/$managed-identity-name?api-version=2024-11-30"

Met de opdracht wordt een JSON-antwoord uitgevoerd dat verschillende velden bevat.

{
  "location": "eastus",
  "name": "managed-identity-name",
  "properties": {
    "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
    "isolationScope": "None",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
  },
  "tags": {},
  "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
}

Noteer de clientID en principalId waarden in de uitvoer.
1. Gebruik principalId dit om de beheerde identiteit als een Entra ID-entiteit aan uw cluster toe te voegen.
2. Gebruik clientID dit om verbinding te maken met het cluster via MongoDB Shell of Compass of in uw toepassingscode met behulp van Entra ID-verificatie.

Clusterverificatiemethoden beheren

Gebruik de volgende stappen om verificatiemethoden in uw bestaande cluster te wijzigen. Voeg vervolgens een Entra ID-gebruiker toe die is toegewezen aan uw aangemelde identiteit aan het cluster. U kunt de volgende verificatiemethoden in uw cluster hebben ingeschakeld:

Alleen natuurlijke DocumentDB-verificatiemethode
Systeemeigen verificatiemethoden voor DocumentDB en Microsoft Entra-id
Verificatiemethode voor Microsoft Entra-id

Belangrijk

Wanneer het cluster wordt gemaakt, moet systeemeigen DocumentDB-verificatiemethode zijn ingeschakeld en systeemeigen gebruikersreferenties voor beheerders opgeven. U kunt systeemeigen DocumentDB-verificatiemethode uitschakelen zodra het inrichten van het nieuwe cluster is voltooid.

Selecteer Verificatie in de zijbalk van het cluster onder Instellingen.
Selecteer in de sectie Verificatiemethoden systeemeigen DocumentDB en Microsoft Entra ID om Microsoft Entra ID-verificatie in te schakelen.
Selecteer Opslaan om de wijzigingen in de verificatiemethode te bevestigen.

Opmerking

Als u de systeemeigen DocumentDB-verificatiemethode in uw cluster wilt uitschakelen , gebruikt u Azure CLI- of REST API-aanroepen.

Als u Microsoft Entra ID wilt inschakelen op het cluster, werkt u het bestaande cluster bij met een HTTP-bewerking PATCH door de MicrosoftEntraID waarde toe te voegen aan allowedModes de authConfig eigenschap.

az resource patch \
    --resource-group "<resource-group-name>" \
    --name "<cluster-name>" \
    --resource-type "Microsoft.DocumentDB/mongoClusters" \
    --properties "{\"authConfig\":{\"allowedModes\":[\"MicrosoftEntraID\",\"NativeAuth\"]}}" \
    --latest-include-preview

Als u de verificatiemethode Microsoft Entra ID op het cluster wilt uitschakelen, werkt u het bestaande cluster bij met een HTTP-bewerking PATCH door de huidige waarden in allowedModes de authConfig eigenschap te overschrijven met NativeAuth.

az resource patch \
    --resource-group "<resource-group-name>" \
    --name "<cluster-name>" \
    --resource-type "Microsoft.DocumentDB/mongoClusters" \
    --properties "{\"authConfig\":{\"allowedModes\":[\"NativeAuth\"]}}" \
    --latest-include-preview

Als u de systeemeigen DocumentDB-verificatiemethode wilt uitschakelen en Microsoft Entra ID op het cluster wilt inschakelen, werkt u het bestaande cluster bij met een HTTP-bewerking PATCH door alleen de MicrosoftEntraID waarde toe te voegen aan allowedModes de authConfig eigenschap.
```
az resource patch \
    --resource-group "<resource-group-name>" \
    --name "<cluster-name>" \
    --resource-type "Microsoft.DocumentDB/mongoClusters" \
    --properties "{\"authConfig\":{\"allowedModes\":[\"MicrosoftEntraID\"]}}" \
    --latest-include-preview
```

U kunt de Azure REST API rechtstreeks of verpakt in az rest de Azure CLI-omgeving gebruiken.

Gebruik deze opdracht om de verificatiemethode Microsoft Entra ID toe te voegen aan het cluster:

az rest \
    --method "PUT" \
    --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.DocumentDB/mongoClusters/<cluster-name>?api-version=2025-09-01" \
    --body "{\"location\":\"<cluster-region>\",\"properties\":{\"authConfig\":{\"allowedModes\":[\"MicrosoftEntraID\",\"NativeAuth\"]}}}"

Gebruik deze opdracht om de verificatiemethode Microsoft Entra ID uit het cluster te verwijderen en laat alleen de systeemeigen DocumentDB-verificatiemethode ingeschakeld:

az rest \
    --method "PUT" \
    --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.DocumentDB/mongoClusters/<cluster-name>?api-version=2025-09-01" \
    --body "{\"location\":\"<cluster-region>\",\"properties\":{\"authConfig\":{\"allowedModes\":\"NativeAuth\"}}}"

Gebruik deze opdracht om de systeemeigen DocumentDB-verificatiemethode te verwijderen en microsoft Entra ID-verificatiemethode toe te voegen aan het cluster:

az rest \
    --method "PUT" \
    --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.DocumentDB/mongoClusters/<cluster-name>?api-version=2025-09-01" \
    --body "{\"location\":\"<cluster-region>\",\"properties\":{\"authConfig\":{\"allowedModes\":[\"MicrosoftEntraID\"]}}}"

Aanbeveling

Als u de Azure Cloud Shell gebruikt, kunt u bestanden rechtstreeks uploaden/downloaden naar de shell. Zie beheerde bestanden in Azure Cloud Shell voor meer informatie.

Verificatiemethoden weergeven die zijn ingeschakeld op het cluster

Volg deze stappen om verificatiemethoden te zien die momenteel zijn ingeschakeld op het cluster.

Selecteer Verificatie in de zijbalk van het cluster onder Instellingen.
Controleer in de sectie Verificatiemethoden de verificatiemethoden die momenteel zijn ingeschakeld op het cluster.

Haal de authConfig eigenschap op uit uw bestaande cluster met behulp van az resource show.

az resource show \
    --resource-group "<resource-group-name>" \
    --name "<cluster-name>" \
    --resource-type "Microsoft.DocumentDB/mongoClusters" \
    --query "properties.authConfig" \
    --latest-include-preview

Bekijk de uitvoer. Als Microsoft Entra ID-verificatie niet is geconfigureerd, bevat de uitvoer alleen de NativeAuth waarde in de allowedModes matrix.
```
{
  "authConfig": {
    "allowedModes": [
        "NativeAuth"
  ] }
}
```
Als Microsoft Entra ID-verificatie is ingeschakeld op het cluster, bevat de uitvoer zowel de als NativeAuth de MicrosoftEntraID waarden in de allowedModes matrix.
```
{
  "authConfig": {
    "allowedModes": [
        "NativeAuth",
        "MicrosotEntraID"
          ] }
}
```

Gebruik deze opdracht om verificatiemethoden te controleren die momenteel zijn ingeschakeld op het cluster:

az rest \
    --method "GET" \
    --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.DocumentDB/mongoClusters/<cluster-name>?api-version=2025-09-01"

Bekijk de uitvoer. Als Microsoft Entra ID-verificatie niet is geconfigureerd, bevat de uitvoer alleen de NativeAuth waarde in de allowedModes matrix.
```
{
  "authConfig": {
    "allowedModes": [
        "NativeAuth"
  ] }
}
```
Als Microsoft Entra ID-verificatie is ingeschakeld op het cluster, bevat de uitvoer zowel de als NativeAuth de MicrosoftEntraID waarden in de allowedModes matrix.
```
{
  "authConfig": {
    "allowedModes": [
        "NativeAuth",
        "MicrosotEntraID"
          ] }
    }
```

Beheer administratieve Entra ID-gebruikers op de cluster

Volg deze stappen om beheerders-Entra ID-gebruikerstoe te voegen aan het cluster of beheerders-Entra ID-gebruikers ervan te verwijderen.

Selecteer een cluster waarvoor de verificatiemethode Microsoft Entra ID is ingeschakeld.
Selecteer Verificatie in de zijbalk van het cluster onder Instellingen.
Gebruikers met beheerdersrechten entra-id's toevoegen:
1. Selecteer in de sectie Microsoft Entra ID-verificatie+Microsoft Entra-id toevoegen om het zijpaneel te openen waarmee u Entra ID-gebruikers en beveiligingsprinciplen aan het cluster kunt toevoegen.
2. Selecteer in het zijpaneel Microsoft Entra ID-rollen selecteren een of meer Entra ID-gebruikers en bevestig uw keuze door Selecteren te selecteren.
Opmerking

Wanneer microsoft Entra ID-gebruikers met beheerdersrechten worden toegevoegd aan het cluster, worden hun id's in aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb indeling niet door mensen leesbare namen toegevoegd, zoals kai@adventure-works.com ze aan het cluster worden toegevoegd.
Selecteer Opslaan om de wijzigingen in de verificatiemethode te bevestigen.
Gebruikers met beheerdersrechten entra-id's verwijderen uit het cluster:
1. Haal Entra ID-id's op voor de gebruikers die uit het cluster moeten worden verwijderd.
2. Selecteer In de sectie Microsoft Entra ID-verificatiede optie Verwijderen naast de id van de gebruiker om die gebruiker uit het cluster te verwijderen.
Belangrijk

Gebruiker wordt verwijderd uit het cluster nadat Verwijderen is geselecteerd.

Haal de unieke id op van de gebruiker of service-principal die moet worden toegevoegd aan of verwijderd uit het cluster.
Als u gebruikers met beheerdersrechten entra-id's wilt toevoegen, gebruikt u az resource create. Met deze opdracht maakt u een nieuwe resource van het type Microsoft.DocumentDB/mongoClusters/users. Stel de naam van de resource samen door de naam van het bovenliggende cluster en de principal-id van uw identiteit samen te voegen.
```
az resource create \
    --resource-group "<resource-group-name>" \
    --name "<cluster-name>/users/<principal-id>" \
    --resource-type "Microsoft.DocumentDB/mongoClusters/users" \
    --location "<cluster-region>" \
    --properties "{\"identityProvider\":{\"type\":\"MicrosoftEntraID\",\"properties\":{\"principalType\":\"User\"}},\"roles\":[{\"db\":\"admin\",\"role\":\"root\"}]}" \
    --latest-include-preview
```
Aanbeveling

Als uw ouderresource bijvoorbeeld de naam example-cluster heeft en uw principal-id was aaaaaaaa-bbbb-cccc-1111-222222222222, zou de naam van de resource zijn:
```
"example-cluster/users/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
```
Als u een service-principal registreert, zoals een beheerde identiteit, vervangt u ook de waarde van de identityProvider.properties.principalType eigenschap door servicePrincipal.
Als u gebruikers met beheerdersrechten entra-id's wilt verwijderen, gebruikt u az resource delete. Met deze opdracht wordt de resource van het type Microsoft.DocumentDB/mongoClusters/usersverwijderd. Stel de naam van de resource samen door de naam van het bovenliggende cluster en de principal-id van uw identiteit samen te voegen.
```
az resource delete \
    --resource-group "<resource-group-name>" \
    --name "<cluster-name>/users/<principal-id>" \
    --resource-type "Microsoft.DocumentDB/mongoClusters/users" \
    --latest-include-preview
```

Haal de unieke id op van de gebruiker of service-principal die moet worden toegevoegd aan of verwijderd uit het cluster.

Als u beheerdersgebruikers van Entra ID wilt toevoegen aan het cluster, gebruikt u de PUT Azure REST API-aanroep met deze az rest opdracht:

az rest \
    --method "PUT" \
    --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.DocumentDB/mongoClusters/<cluster-name>/users/<principal-id>?api-version=2025-09-01" \
    --body "{\"location\":\"<cluster-region>\",\"properties\":{\"identityProvider\":{\"type\":\"MicrosoftEntraID\",\"properties\":{\"principalType\":\"User\"}},\"roles\":[{\"db\":\"admin\",\"role\":\"root\"}]}}"

Aanbeveling

Als uw ouderresource bijvoorbeeld de naam example-cluster heeft en uw principal-id was aaaaaaaa-bbbb-cccc-1111-222222222222, zou de naam van de resource zijn:

"example-cluster/users/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"

Als u een service-principal registreert, zoals een beheerde identiteit, vervangt u ook de waarde van de identityProvider.properties.principalType eigenschap door servicePrincipal.

Als u beheerders-Entra ID-gebruikers uit het cluster wilt verwijderen, gebruikt u de aanroep DELETE Azure REST API met deze az rest opdracht:

az rest \
    --method "DELETE" \
    --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.DocumentDB/mongoClusters/<cluster-name>/users/<principal-id>?api-version=2025-09-01"

Bekijk administratieve Entra ID-gebruikers op het cluster

Wanneer u gebruikers met beheerdersrechten op een cluster bekijkt, is er altijd één systeemeigen ingebouwde gebruiker met beheerdersrechten gemaakt tijdens het inrichten van het cluster en alle gebruikers met beheerdersrechten die zijn toegevoegd aan het vermelde cluster. Alle administratieve Entra ID-gebruikers worden gerepliceerd naar de database.

Niet-beheerder Entra ID-gebruikers worden in de database aangemaakt. Wanneer u niet-administratieve gebruikers in de database weergeeft, bevat de lijst alle administratieve en niet-administratieve Entra ID-gebruikers en alle secundaire (niet-administratieve) DocumentDB-gebruikers.

Volg deze stappen om alle gebruikers met beheerdersrechten entra-id's te zien die zijn toegevoegd aan het cluster.

Selecteer een cluster waarvoor de verificatiemethode Microsoft Entra ID is ingeschakeld.
Selecteer Verificatie in de zijbalk van het cluster onder Instellingen.
Zoek in de sectie Microsoft Entra ID-verificatie de lijst met object-id's (unieke id's) voor de gebruikers met beheerdersrechten die aan het cluster zijn toegevoegd.
Volg deze stappen om beschrijvende namen op te halen met behulp van een unieke id.

Gebruik deze opdracht om alle gebruikers met beheerdersrechten in het cluster weer te geven:

az rest \
    --method "GET" \
    --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.DocumentDB/mongoClusters/<cluster-name>/users?api-version=2025-09-01"

Bekijk de uitvoer. De uitvoer bevat een matrix met gebruikersaccounts met beheerdersrechten in het cluster. Deze matrix heeft één ingebouwde systeemeigen gebruikers met beheerdersrechten en alle gebruikers- en service-principals met beheerdersrechten die aan het cluster zijn toegevoegd.

{
  "id": "/subscriptions/<subscription-id>>/resourceGroups/<resource-group-name>>/providers/Microsoft.DocumentDB/mongoClusters/<cluser-name>>/users/<user's-unique-id>",
  "name": "user's-unique-id",
  "properties": {
    "identityProvider": {
      "properties": {
        "entraTenant": "entra-tenant-id",
        "principalType": "User"
      },
      "type": "MicrosoftEntraID"
    },
    ...
    "user": "user's-unique-id"
  },
    ...
  "type": "Microsoft.DocumentDB/mongoClusters/users"
}

Opmerking

Er wordt een Azure Cosmos DB voor MongoDB vCore-cluster gemaakt met één ingebouwde documentDB-gebruiker. U kunt meer systeemeigen DocumentDB-gebruikers toevoegen nadat het inrichten van clusters is voltooid. Microsoft Entra ID-gebruikers die aan het cluster zijn toegevoegd, komen naast systeemeigen DocumentDB-gebruikers die in hetzelfde cluster zijn gedefinieerd.

Niet-administratieve Entra ID-gebruikers in het cluster beheren

Als u beheerbewerkingen wilt uitvoeren voor niet-administratieve Entra ID-beveiligingsprincipes zoals gebruikers, moet u zich aanmelden bij het cluster met een Entra ID-gebruiker met beheerdersrechten. U kunt dit doen vanuit uw toepassingscode of vanuit de hulpprogramma's zoals MongoDB-shell en Compass.

Alle beheeropdrachten voor gebruikers zonder beheerdersrechten worden ondersteund voor servicePrincipal en user principal-typen.

Gebruik de volgende opdracht om een niet-beheerders-Entra ID-gebruiker met lees-/schrijfmachtigingen toe te createUser aan het cluster:

db.runCommand(
    {
        createUser:"user's-Entra-ID-identifier",
        roles : [
            { role:"clusterAdmin",db:"admin" },
            { role:"readWriteAnyDatabase", db:"admin" }
        ],
 	    customData:{"IdentityProvider":{"type":"MicrosoftEntraID", "properties":{"principalType":"user"}}}
    }
)

Gebruik de volgende opdracht om een niet-beheerders-Entra ID-gebruiker met alleen-lezenmachtigingen toe te createUser aan het cluster:

db.runCommand(
    {
        createUser:"user's-Entra-ID-identifier",
        roles : [
            { role:"readAnyDatabase", db:"admin" }
        ],
 	    customData:{"IdentityProvider":{"type":"MicrosoftEntraID", "properties":{"principalType":"user"}}}
    }
)

Als u een gebruiker met een niet-beheerders-entra-id uit het cluster wilt verwijderen, gebruikt u dropUser de volgende opdracht:
```
db.runCommand(
    {
        dropUser:"user's-Entra-ID-identifier"
    }
)
```
Als u alle Entra-id en systeemeigen DocumentDB-gebruikers in het cluster wilt weergeven, gebruikt u userInfo de volgende opdracht:
```
db.runCommand(
    {
        usersInfo:1
    }
)
```
Opmerking

Alle Entra ID-gebruikers en natuurlijke DocumentDB-beheerders worden naar de database gerepliceerd. Vanwege deze replicatie bevat de lijst met gebruikers alle Entra ID-gebruikers, zowel beheerders als niet-beheerders, en interne DocumentDB-gebruikers in het cluster.

Verbinding maken met het cluster

U kunt verbinding maken met het cluster met behulp van een verbindings-URI of een aangepast instellingenobject van het stuurprogramma voor uw voorkeurstaal. Bij beide opties moet het schema worden ingesteld op mongodb+srv om verbinding te maken met het cluster. De host bevindt zich op het *.global.mongocluster.cosmos.azure.com- of *.mongocluster.cosmos.azure.com-domein, afhankelijk van het gebruik van het huidige cluster of de globale lees-/schrijfpunt. Het +srv schema en de *.global.* host zorgen ervoor dat uw client dynamisch is verbonden met het juiste beschrijfbare cluster in een configuratie met meerdere clusters, zelfs als er een regiowisselingsbewerking plaatsvindt. In een configuratie met één cluster kunt u afzonderlijke verbindingsreeksen gebruiken.

De tls instelling moet ook zijn ingeschakeld. De overige aanbevolen instellingen zijn best practice-configuratie-instellingen.

Optie	Waarde
plan	`mongodb+srv`
gastheer	`<cluster-name>.global.mongocluster.cosmos.azure.com` of `<cluster-name>.mongocluster.cosmos.azure.com`
`tls`	`true`
`authMechanism`	`MONGODB-OIDC`
`retrywrites`	`false`
`maxIdleTimeMS`	`120000`

Open op de pagina met clustereigenschappen in de Azure Portal, onder Instellingen, Verbindingsreeksen. De pagina Verbindingsreeksen bevat verbindingsreeksen voor de verificatiemethoden die zijn ingeschakeld op het cluster. Microsoft Entra ID-verbindingsreeksen bevinden zich in de sectie Microsoft Entra-id .

Globaal

mongodb+srv://<cluster-name>.global.mongocluster.cosmos.azure.com/?tls=true&authMechanism=MONGODB-OIDC&retrywrites=false&maxIdleTimeMS=120000

cluster

mongodb+srv://<cluster-name>.mongocluster.cosmos.azure.com/?tls=true&authMechanism=MONGODB-OIDC&retrywrites=false&maxIdleTimeMS=120000

const AzureIdentityTokenCallback = async (params: OIDCCallbackParams, credential: TokenCredential): Promise<OIDCResponse> => {
    const tokenResponse: AccessToken | null = await credential.getToken(['https://ossrdbms-aad.database.windows.net/.default']);
    return {
        accessToken: tokenResponse?.token || '',
        expiresInSeconds: (tokenResponse?.expiresOnTimestamp || 0) - Math.floor(Date.now() / 1000)
    };
};

const clusterName: string = '<azure-cosmos-db-mongodb-vcore-cluster-name>';

const credential: TokenCredential = new DefaultAzureCredential();

const client = new MongoClient(
    `mongodb+srv://${clusterName}.global.mongocluster.cosmos.azure.com/`, {
    connectTimeoutMS: 120000,
    tls: true,
    retryWrites: true,
    authMechanism: 'MONGODB-OIDC',
    authMechanismProperties: {
        OIDC_CALLBACK: (params: OIDCCallbackParams) => AzureIdentityTokenCallback(params, credential),
        ALLOWED_HOSTS: ['*.azure.com']
    }
}
);

class AzureIdentityTokenCallback(OIDCCallback):
    def __init__(self, credential):
        self.credential = credential

    def fetch(self, context: OIDCCallbackContext) -> OIDCCallbackResult:
        token = self.credential.get_token(
            "https://ossrdbms-aad.database.windows.net/.default").token
        return OIDCCallbackResult(access_token=token)

clusterName = "<azure-cosmos-db-mongodb-vcore-cluster-name>"

credential = DefaultAzureCredential()
authProperties = {"OIDC_CALLBACK": AzureIdentityTokenCallback(credential)}

client = MongoClient(
    f"mongodb+srv://{clusterName}.global.mongocluster.cosmos.azure.com/",
    connectTimeoutMS=120000,
    tls=True,
    retryWrites=True,
    authMechanism="MONGODB-OIDC",
    authMechanismProperties=authProperties
)

string tenantId = "<microsoft-entra-tenant-id>";
string clusterName = "<azure-cosmos-db-mongodb-vcore-cluster-name>";

DefaultAzureCredential credential = new();
AzureIdentityTokenHandler tokenHandler = new(credential, tenantId);

MongoUrl url = MongoUrl.Create($"mongodb+srv://{clusterName}.global.mongocluster.cosmos.azure.com/");
MongoClientSettings settings = MongoClientSettings.FromUrl(url);
settings.UseTls = true;
settings.RetryWrites = false;
settings.MaxConnectionIdleTime = TimeSpan.FromMinutes(2);
settings.Credential = MongoCredential.CreateOidcCredential(tokenHandler);
settings.Freeze();

MongoClient client = new(settings);

internal sealed class AzureIdentityTokenHandler(
    TokenCredential credential,
    string tenantId
) : IOidcCallback
{
    private readonly string[] scopes = ["https://ossrdbms-aad.database.windows.net/.default"];

    public OidcAccessToken GetOidcAccessToken(OidcCallbackParameters parameters, CancellationToken cancellationToken)
    {
        AccessToken token = credential.GetToken(
            new TokenRequestContext(scopes, tenantId: tenantId),
            cancellationToken
        );

        return new OidcAccessToken(token.Token, token.ExpiresOn - DateTimeOffset.UtcNow);
    }

    public async Task<OidcAccessToken> GetOidcAccessTokenAsync(OidcCallbackParameters parameters, CancellationToken cancellationToken)
    {
        AccessToken token = await credential.GetTokenAsync(
            new TokenRequestContext(scopes, parentRequestId: null, tenantId: tenantId),
            cancellationToken
        );

        return new OidcAccessToken(token.Token, token.ExpiresOn - DateTimeOffset.UtcNow);
    }
}

Entra-id gebruiken met Visual Studio Code, MongoDB-shell en MongoDB Compass

U kunt Entra ID-verificatie gebruiken in verschillende hulpprogramma's, waaronder Visual Studio Code met de DocumentDB-extensie, MongoDB-shell en MongoDB Compass-hulpprogramma's. In Visual Studio Code kunt u zich verifiëren bij uw cluster met behulp van de huidige gebruiker die is aangemeld bij Visual Studio Code.

Een door Azure beheerde identiteit wordt gebruikt om u aan te melden met behulp van Entra-id voor MonogDB-shell en Compass. Wijs beheerde identiteit toe aan een virtuele Azure-machine (VM) en meld u aan bij het cluster vanaf die VM met behulp van MongoDB-shell of Compass. Een van de algemene taken die worden uitgevoerd in de hulpprogramma's met Entra ID-verificatie is het beheer van de secundaire entra-id-gebruikers in het cluster. Gebruiker met beheerdersrechten entra-id's moet worden geverifieerd in MongoDB-shell, Compass of een ander MongoDB-beheerprogramma om secundaire Entra ID-gebruikers in het cluster te kunnen beheren.

Verbinding maken met het cluster met behulp van Entra-id in Visual Studio Code

Volg deze richtlijnen om verbinding te maken met een Azure Cosmos DB voor MongoDB vCore-cluster met visual Studio Code met de DocumentDB-extensie en Entra ID-verificatie.

Opmerking

Wanneer u zich authentiseert bij een Azure Cosmos DB voor een MongoDB vCore-cluster met behulp van Entra ID in Visual Studio Code met de DocumentDB-extensie, wordt de shell-functionaliteit niet ondersteund. Als u MongoDB-shell met Entra ID-verificatie wilt gebruiken, volgt u deze stappen.

Verbinding maken met het cluster met behulp van entra-id in MongoDB-shell

Maak een door de gebruiker toegewezen beheerde identiteit.
Een beheerde identiteit toewijzen aan een virtuele machine.
Voeg beheerde identiteit toe aan het cluster als entra-id-gebruiker met behulp van de metagegevens van de beheerde identiteit.

Als u verbinding wilt maken met het cluster, gebruikt u de volgende verbindingsreeks in de MongoDB-shell op de virtuele machine:

mongosh "mongodb+srv://<client-id>@<cluster-name>.global.mongocluster.cosmos.azure.com/?tls=true&authMechanism=MONGODB-OIDC&authMechanismProperties=ENVIRONMENT:azure,TOKEN_RESOURCE:https://ossrdbms-aad.database.windows.net" --oidcTrustedEndpoint

waar clientID is de client-id van de beheerde identiteit.

Verbinding maken met het cluster met behulp van Entra-id in MongoDB Compass

Gebruik de volgende stappen om Entra ID te gebruiken voor authenticatie bij de cluster in MongoDB Compass.

Maak een door de gebruiker toegewezen beheerde identiteit.
Een beheerde identiteit toewijzen aan een virtuele machine.
Voeg beheerde identiteit toe aan het cluster als entra-id-gebruiker met behulp van de metagegevens van de beheerde identiteit.
Voer MongoDB Compass uit op de virtuele machine.
Selecteer + het teken aan de linkerkant naast Verbindingen om een nieuwe verbinding toe te voegen.
Zorg ervoor dat de wisselknop Verbindingsreeks bewerken is ingeschakeld in het venster Nieuwe verbinding .

Plak de volgende verbindingsreeks in het invoervak van de URI .

mongodb+srv://<client-id>@<cluster-name>.global.mongocluster.cosmos.azure.com/?tls=true&authMechanism=MONGODB-OIDC&authMechanismProperties=ENVIRONMENT:azure,TOKEN_RESOURCE:https://ossrdbms-aad.database.windows.net

waar clientID is de client-id van de beheerde identiteit.

Open Geavanceerde verbindingsopties.
Zorg ervoor dat u op het tabblad Algemeen de optie mongodb+srv heeft geselecteerd onder Verbindingsreeksschema.
Ga naar het tabblad Verificatie .
Zorg ervoor dat OIDC is geselecteerd.
Open OIDC-opties.
Stel de optie Doeleindpunt vertrouwen in.
Selecteer Opslaan en verbinden.

Overzicht van Microsoft Entra ID-verificatie in Azure Cosmos DB voor MongoDB vCore
Beperkingen van Microsoft Entra-id in Azure Cosmos DB voor MongoDB vCore controleren
Verbinding maken met behulp van een consoletoepassing

Feedback

Is deze pagina nuttig?

Delen via

Microsoft Entra ID-verificatie configureren voor een Azure Cosmos DB voor MongoDB vCore-cluster

Vereiste voorwaarden

Identiteitsmetagegevens ophalen

Unieke id ophalen voor Entra ID-gebruikersbeheer

Beschrijvende naam ophalen met behulp van een unieke id

Unieke id ophalen voor een Entra ID-service-principal

Clusterverificatiemethoden beheren

Verificatiemethoden weergeven die zijn ingeschakeld op het cluster

Beheer administratieve Entra ID-gebruikers op de cluster

Bekijk administratieve Entra ID-gebruikers op het cluster

Niet-administratieve Entra ID-gebruikers in het cluster beheren

Verbinding maken met het cluster

Entra-id gebruiken met Visual Studio Code, MongoDB-shell en MongoDB Compass

Verbinding maken met het cluster met behulp van Entra-id in Visual Studio Code

Verbinding maken met het cluster met behulp van entra-id in MongoDB-shell

Verbinding maken met het cluster met behulp van Entra-id in MongoDB Compass

Verwante inhoud

Feedback

Aanvullende resources