MinIO 外部身分管理外掛程式

總覽

MinIO 身分管理外掛程式提供 REST 介面，用於透過 Webhook 服務將驗證卸載到外部身分管理員。

啟用後，用戶端應用程式會使用 AssumeRoleWithCustomToken STS API 擴充功能來產生 MinIO 的存取權杖。MinIO 會向已設定的外掛程式端點發出 POST 要求來驗證此權杖，並使用傳回的回應來判斷用戶端的驗證狀態。

組態設定

您可以使用下列環境變數或組態設定來設定 MinIO 身分管理外掛程式

環境變數

指定下列環境變數到部署中的每個 MinIO 伺服器

MINIO_IDENTITY_PLUGIN_URL="https://external-auth.example.net:8080/auth"
MINIO_IDENTITY_PLUGIN_ROLE_POLICY="consoleAdmin"

# All other envvars are optional
MINIO_IDENTITY_PLUGIN_TOKEN="Bearer TOKEN"
MINIO_IDENTITY_PLUGIN_ROLE_ID="external-auth-provider"
MINIO_IDENTITY_PLUGIN_COMMENT="External Identity Management using PROVIDER"

組態設定

使用 mc admin config set 命令設定下列組態設定

mc admin config set identity_plugin \
   url="https://external-auth.example.net:8080/auth" \
   role_policy="consoleAdmin" \

   # All other config settings are optional
   token="Bearer TOKEN" \
   role_id="external-auth-provider" \
   comment="External Identity Management using PROVIDER"

驗證和授權流程

應用程式的登入流程如下

使用 AssumeRoleWithCustomToken API 發出 POST 要求。

該要求包含已設定的外部身分管理員用於驗證用戶端的權杖。
MinIO 使用指定給 STS API 的權杖，對設定的身份驗證外掛程式 URL 發出 POST 呼叫。

成功驗證後，身份管理器會返回一個 200 OK 回應，內容類型為 application/json，並且包含以下結構的內容：

{
   "user": "<string>",
   "maxValiditySeconds": 3600,
   "claims": "KEY=VALUE,[KEY=VALUE,...]"
}

`user`	請求憑證的擁有者
`maxValiditySeconds`	返回憑證允許的最大到期時間長度
`claims`	與請求憑證關聯的鍵值對聲明列表。MinIO 會保留並忽略 `exp`、`parent` 和 `sub` 聲明物件（如果存在）。

MinIO 會返回一個 STS API 請求的回應，其中包含用於發出已驗證請求的臨時憑證。

如果身份管理器拒絕驗證請求或遇到其他錯誤，回應必須返回 403 FORBIDDEN HTTP 狀態碼，內容類型為 application/json，並且包含以下結構的內容：

{
     "reason": "<string>"
}

"reason" 欄位應包含 403 錯誤的原因。

建立符合聲明的政策

使用 MinIO 主控台或 mc admin policy 命令來建立符合一個或多個聲明值的政策。