OpenID Connect 存取管理
MinIO 支援使用與 OpenID Connect (OIDC) 相容的身分提供者 (IDP),例如 Okta、KeyCloak、Dex、Google 或 Facebook,來外部管理使用者身分。
對於由外部 OpenID Connect (OIDC) 相容提供者管理的身分,MinIO 可以使用兩種方法之一將政策指派給已驗證的使用者。
使用作為 OIDC 驗證流程一部分傳回的 JSON Web Token 宣告來識別要指派給已驗證使用者的政策。
使用授權請求中指定的 RoleArn 來指派附加到提供者 RolePolicy 的政策。
MinIO 預設會拒絕存取未經使用者指派或繼承的政策明確允許的所有動作或資源。由 OIDC 提供者管理的使用者必須將必要的政策指定為 JWT 宣告的一部分。如果使用者 JWT 宣告沒有符合的 MinIO 政策,則該使用者沒有任何權限來存取 MinIO 部署上的任何動作或資源。
MinIO 尋找的特定宣告在使用 OIDC 身分管理部署叢集時設定。此頁面重點介紹建立符合已設定 OIDC 宣告的 MinIO 政策。
MinIO 支援兩種 OIDC 驗證和授權流程
RolePolicy 流程在 MinIO 設定中設定已驗證使用者的已指派政策。
MinIO 建議使用 RolePolicy 方法來驗證 OpenID 提供者。
JWT 流程在 OIDC 設定中設定已驗證使用者的已指派政策。
MinIO 支援多個 OIDC 提供者設定。但是,每個部署只能設定 一個 基於 JWT 宣告的 OIDC 提供者。所有其他提供者必須使用 RolePolicy。
使用 RolePolicy,所有使用給定 RoleArn 產生 STS 認證的客戶端都會收到與該 RoleArn 的 RolePolicy 設定相關聯的政策或多個政策。
您可以使用OpenID 政策變數來建立可程式化管理每個個別使用者可以存取之內容的政策。
使用 OIDC 認證與 RolePolicy 宣告流程的應用程式的登入流程如下
建立 OIDC 設定。
在建立時或在 MinIO 啟動時記錄指派給設定的 RoleArn。將此 RoleArn 與AssumeRoleWithWebIdentity STS API 一起使用。
建立要與 RoleArn 一起使用的 RolePolicy。使用 MINIO_IDENTITY_OPENID_ROLE_POLICY 環境變數或 identity_openid role_policy 設定來定義提供者要使用的政策清單
使用者在登入 MinIO 時選取已設定的 OIDC 提供者。
使用者完成向設定的 OIDC 提供者的身份驗證,並重新導向回 MinIO。
MinIO 僅支援 OpenID 授權碼流程。不支援使用隱含流程進行身份驗證。
MinIO 會驗證 API 呼叫中的 RoleArn,並檢查要使用的 RolePolicy。任何帶有 RoleArn 的身份驗證請求都會收到相同的政策存取權限。
MinIO 在 STS API 回應中以存取金鑰、密碼金鑰和會話權杖的形式傳回臨時憑證。這些憑證的權限與 RolePolicy 中指定的政策相符。
應用程式使用 STS 端點傳回的臨時憑證,在 MinIO 上執行已驗證的 S3 操作。
使用 JSON Web Token 允許您個別指派政策。然而,使用 Web Token 也會增加管理多個不同聲明政策的成本。
使用 OIDC 憑證的應用程式,使用 JSON Web Token Claim 流程的登入流程如下:
向設定的 OIDC 提供者進行身份驗證,並擷取 JSON Web Token (JWT)。
MinIO 僅支援 OpenID 授權碼流程。不支援使用隱含流程進行身份驗證。
指定 JWT 給 MinIO 安全權杖服務 (STS) AssumeRoleWithWebIdentity API 端點。
MinIO 會針對設定的 OIDC 提供者驗證 JWT。
如果 JWT 有效,MinIO 會檢查是否有 claim 指定要指派給已驗證使用者的一個或多個 policy 清單。MinIO 預設檢查 policy 聲明。
MinIO 在 STS API 回應中以存取金鑰、密碼金鑰和會話權杖的形式傳回臨時憑證。這些憑證的權限與 JWT 聲明中指定的政策相符。
應用程式使用 STS 端點傳回的臨時憑證,在 MinIO 上執行已驗證的 S3 操作。
MinIO 提供了一個範例 Go 應用程式 web-identity.go,可以處理完整的登入流程。
OIDC 使用者也可以建立 存取金鑰。存取金鑰是長期有效的憑證,它們繼承自其父使用者的權限。父使用者可以在建立存取金鑰時進一步限制這些權限。要建立新的存取金鑰,請使用 OIDC 管理的使用者憑證登入 MinIO 控制台。從左側導覽的 身份 區段中,選取 存取金鑰,然後選取 建立存取金鑰 + 按鈕。
識別 JWT Claim 值
MinIO 使用作為 OIDC 身份驗證流程一部分傳回的 JWT 權杖,來識別要指派給已驗證使用者的特定政策。
您可以使用 JWT 除錯工具 來解碼傳回的 JWT 權杖,並驗證使用者屬性是否包含所需的聲明。
有關 JWT 聲明的更多資訊,請參閱 RFC 7519:JWT 聲明。
有關設定使用者聲明的說明,請參考您偏好的 OIDC 提供者的文件。
下表包含授權 OIDC 管理使用者 所使用的支援政策變數清單。
每個變數對應於作為已驗證使用者 JWT 權杖一部分傳回的聲明
變數 |
描述 |
|---|
jwt:sub
|
傳回使用者的 sub 聲明。 |
jwt:iss
|
從 ID 權杖傳回發行者識別碼聲明。 |
jwt:aud
|
從 ID 權杖傳回受眾聲明。 |
jwt:jti
|
從客戶端身份驗證資訊傳回 JWT ID 聲明。 |
jwt:upn
|
從客戶端身份驗證資訊傳回使用者主體名稱聲明。 |
jwt:name
|
傳回使用者的 name 聲明。 |
jwt:groups
|
傳回使用者的 groups 聲明。 |
jwt:given_name
|
傳回使用者的 given_name 聲明。 |
jwt:family_name
|
傳回使用者的 family_name 聲明。 |
jwt:middle_name
|
傳回使用者的 middle_name 聲明。 |
jwt:nickname
|
傳回使用者的 nickname 聲明。 |
jwt:preferred_username
|
傳回使用者的 preferred_username 聲明。 |
jwt:profile
|
傳回使用者的 profile 聲明。 |
jwt:picture
|
傳回使用者的 picture 聲明。 |
jwt:website
|
傳回使用者的 website 聲明。 |
jwt:email
|
傳回使用者的 email 聲明。 |
jwt:gender
|
傳回使用者的 gender 聲明。 |
jwt:birthdate
|
傳回使用者的 birthdate 聲明。 |
jwt:phone_number
|
傳回使用者的 phone_number 聲明。 |
jwt:address
|
傳回使用者的 address 聲明。 |
jwt:scope
|
傳回使用者的 scope 聲明。 |
jwt:client_id
|
傳回使用者的 client_id 聲明。 |
有關這些範圍的更多資訊,請參閱 OpenID Connect Core 1.0 文件。您選擇的 OIDC 提供者可能有更具體的說明文件。
例如,以下政策使用變數來取代已驗證使用者 preferred_username 作為 Resource 欄位的一部分,以便使用者只能存取與其使用者名稱相符的前綴
{
"Version": "2012-10-17",
"Statement": [
{
"Action": ["s3:ListBucket"],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::mybucket"],
"Condition": {"StringLike": {"s3:prefix": ["${jwt:preferred_username}/*"]}}
},
{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::mybucket/${jwt:preferred_username}/*"]
}
]
}
MinIO 會將 Resource 欄位中的 ${jwt:preferred_username} 變數,替換為 JWT 權杖中 preferred_username 的值。然後,MinIO 會評估政策,並授予或撤銷對請求的 API 和資源的存取權。
Erasure Code 計算器 
參考硬體 