OpenID Connect 存取管理
MinIO 支援使用 OpenID Connect (OIDC) 相容的身分提供者 (IDP),例如 Okta、KeyCloak、Dex、Google 或 Facebook 來外部管理使用者身分。
對於由外部 OpenID Connect (OIDC) 相容提供者管理的身分,MinIO 可以使用兩種方法之一來將政策指派給已驗證的使用者。
使用作為 OIDC 驗證流程一部分傳回的JSON Web 權杖宣告來識別要指派給已驗證使用者的政策。
使用授權請求中指定的 RoleArn 來指派附加到提供者 RolePolicy 的政策。
根據預設,MinIO 會拒絕存取使用者已指派或繼承的政策未明確允許的所有動作或資源。由 OIDC 提供者管理的使用者必須在 JWT 宣告中指定必要的政策。如果使用者 JWT 宣告沒有符合的 MinIO 政策,則該使用者無權存取 MinIO 部署上的任何動作或資源。
MinIO 尋找的特定宣告會設定為使用 OIDC 身分管理部署叢集的一部分。此頁面重點介紹如何建立 MinIO 政策來符合已設定的 OIDC 宣告。
MinIO 支援兩種 OIDC 驗證和授權流程
RolePolicy 流程會在 MinIO 設定中設定已驗證使用者的已指派政策。
MinIO 建議使用 RolePolicy 方法來透過 OpenID 提供者進行驗證。
JWT 流程會在 OIDC 設定中設定已驗證使用者的已指派政策。
MinIO 支援多種 OIDC 提供者設定。但是,每個部署只能設定一個基於 JWT 宣告的 OIDC 提供者。所有其他提供者都必須使用 RolePolicy。
使用 RolePolicy,所有使用給定 RoleArn 產生 STS 憑證的用戶端都會收到與該 RoleArn 的 RolePolicy 設定相關聯的政策或多個政策。
您可以使用OpenID 政策變數來建立程式化管理每個使用者可以存取哪些內容的政策。
使用具有 RolePolicy 宣告流程的 OIDC 憑證的應用程式的登入流程如下
建立 OIDC 設定。
記錄在建立時或 MinIO 啟動時指派給設定的 RoleArn。將此 RoleArn 與 AssumeRoleWithWebIdentity STS API 一起使用。
建立一個 RolePolicy 以搭配 RoleArn 使用。您可以使用 MINIO_IDENTITY_OPENID_ROLE_POLICY 環境變數,或 identity_openid role_policy 設定來定義供應商要使用的策略清單。
使用者在登入 MinIO 時會選擇已設定的 OIDC 供應商。
使用者會完成對已設定的 OIDC 供應商的驗證,然後重新導向回 MinIO。
MinIO 僅支援 OpenID 授權碼流程。不支援使用隱式流程進行驗證。
MinIO 會驗證 API 呼叫中的 RoleArn,並檢查要使用的 RolePolicy。任何使用 RoleArn 的驗證請求都會收到相同的策略存取權限。
MinIO 會以存取金鑰、秘密金鑰和會話權杖的形式,在 STS API 回應中傳回臨時憑證。憑證的權限會與 RolePolicy 中指定的策略相符。
應用程式會使用 STS 端點傳回的臨時憑證,在 MinIO 上執行經過驗證的 S3 操作。
使用 JSON Web Token 可讓您個別指派策略。但是,使用 Web Token 也會增加為個別宣告管理多個策略的成本。
使用 OIDC 憑證和 JSON Web Token 宣告流程的應用程式的登入流程如下
驗證已設定的 OIDC 供應商,並檢索 JSON Web Token (JWT)。
MinIO 僅支援 OpenID 授權碼流程。不支援使用隱式流程進行驗證。
將 JWT 指定至 MinIO Security Token Service (STS) AssumeRoleWithWebIdentity API 端點。
MinIO 會根據已設定的 OIDC 供應商驗證 JWT。
如果 JWT 有效,MinIO 會檢查是否有 宣告 指定要指派給已驗證使用者的一個或多個 策略 的清單。MinIO 預設會檢查 policy 宣告。
MinIO 會以存取金鑰、秘密金鑰和會話權杖的形式,在 STS API 回應中傳回臨時憑證。憑證的權限會與 JWT 宣告中指定的策略相符。
應用程式會使用 STS 端點傳回的臨時憑證,在 MinIO 上執行經過驗證的 S3 操作。
MinIO 提供一個範例 Go 應用程式 web-identity.go,它會處理完整的登入流程。
OIDC 使用者也可以選擇建立存取金鑰。存取金鑰是長期有效的憑證,繼承自父使用者的權限。父使用者可以在建立存取金鑰時進一步限制這些權限。若要建立新的存取金鑰,請使用 OIDC 管理的使用者憑證登入 MinIO 主控台。從左側導覽的 身分 區段中,選取 存取金鑰,然後按一下 建立存取金鑰 + 按鈕。
識別 JWT 宣告值
MinIO 會使用 OIDC 驗證流程中傳回的 JWT 權杖,來識別要指派給已驗證使用者的特定策略。
您可以使用 JWT 除錯工具來解碼傳回的 JWT 權杖,並驗證使用者屬性是否包含必要的宣告。
如需有關 JWT 宣告的詳細資訊,請參閱 RFC 7519:JWT 宣告。
如需設定使用者宣告的說明,請參閱您偏好的 OIDC 供應商的文件。
下表包含授權 OIDC 管理的使用者 時,可使用的支援策略變數清單。
每個變數都對應到已驗證使用者的 JWT 權杖中傳回的宣告
變數 |
描述 |
|---|
jwt:sub
|
傳回使用者的 sub 宣告。 |
jwt:iss
|
從 ID 權杖傳回發行者識別碼宣告。 |
jwt:aud
|
從 ID 權杖傳回受眾宣告。 |
jwt:jti
|
從用戶端驗證資訊傳回 JWT ID 宣告。 |
jwt:upn
|
從用戶端驗證資訊傳回使用者主體名稱宣告。 |
jwt:name
|
傳回使用者的 name 宣告。 |
jwt:groups
|
傳回使用者的 groups 宣告。 |
jwt:given_name
|
傳回使用者的 given_name 宣告。 |
jwt:family_name
|
傳回使用者的 family_name 宣告。 |
jwt:middle_name
|
傳回使用者的 middle_name 宣告。 |
jwt:nickname
|
傳回使用者的 nickname 宣告。 |
jwt:preferred_username
|
傳回使用者的 preferred_username 宣告。 |
jwt:profile
|
傳回使用者的 profile 宣告。 |
jwt:picture
|
傳回使用者的 picture 宣告。 |
jwt:website
|
傳回使用者的 website 宣告。 |
jwt:email
|
傳回使用者的 email 宣告。 |
jwt:gender
|
傳回使用者的 gender 宣告。 |
jwt:birthdate
|
傳回使用者的 birthdate 宣告。 |
jwt:phone_number
|
傳回使用者的 phone_number 宣告。 |
jwt:address
|
傳回使用者的 address 宣告。 |
jwt:scope
|
傳回使用者的 scope 宣告。 |
jwt:client_id
|
傳回使用者的 client_id 宣告。 |
如需有關這些範圍的詳細資訊,請參閱 OpenID Connect Core 1.0 文件。您選擇的 OIDC 供應商可能會有更具體的說明文件。
例如,下列策略會使用變數來取代已驗證使用者的 preferred_username 作為 Resource 欄位的一部分,讓使用者只能存取與其使用者名稱相符的前置詞
{
"Version": "2012-10-17",
"Statement": [
{
"Action": ["s3:ListBucket"],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::mybucket"],
"Condition": {"StringLike": {"s3:prefix": ["${jwt:preferred_username}/*"]}}
},
{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::mybucket/${jwt:preferred_username}/*"]
}
]
}
MinIO 會將 Resource 欄位中的 ${jwt:preferred_username} 變數,替換為 JWT 權杖中 preferred_username 的值。然後,MinIO 會評估策略,並授與或撤銷對要求 API 和資源的存取權。
Erasure Code 計算器 
參考硬體 