MinIO 外部身分管理外掛程式

概觀

MinIO 身分管理外掛程式提供了一個 REST 介面，用於透過 Webhook 服務將驗證卸載到外部身分管理員。

啟用後，用戶端應用程式會使用 AssumeRoleWithCustomToken STS API 延伸功能來產生 MinIO 的存取權杖。MinIO 會向已設定的外掛程式端點發出 POST 要求來驗證此權杖，並使用傳回的回應來判斷用戶端的驗證狀態。

組態設定

您可以使用以下環境變數或組態設定來設定 MinIO 身分管理外掛程式

環境變數

指定部署中每個 MinIO 伺服器的以下環境變數

MINIO_IDENTITY_PLUGIN_URL="https://external-auth.example.net:8080/auth"
MINIO_IDENTITY_PLUGIN_ROLE_POLICY="consoleAdmin"

# All other envvars are optional
MINIO_IDENTITY_PLUGIN_TOKEN="Bearer TOKEN"
MINIO_IDENTITY_PLUGIN_ROLE_ID="external-auth-provider"
MINIO_IDENTITY_PLUGIN_COMMENT="External Identity Management using PROVIDER"

組態設定

使用 mc admin config set 命令設定以下組態設定

mc admin config set identity_plugin \
   url="https://external-auth.example.net:8080/auth" \
   role_policy="consoleAdmin" \

   # All other config settings are optional
   token="Bearer TOKEN" \
   role_id="external-auth-provider" \
   comment="External Identity Management using PROVIDER"

驗證和授權流程

應用程式的登入流程如下

使用 AssumeRoleWithCustomToken API 發出 POST 要求。

該要求包含由已設定的外部身分管理員用於驗證用戶端的權杖。
MinIO 使用指定給 STS API 的權杖，向已設定的身分外掛程式 URL 發出 POST 呼叫。

成功驗證後，身分管理員會傳回 200 OK 回應，並使用 application/json 內容類型和具有以下結構的主體

{
   "user": "<string>",
   "maxValiditySeconds": 3600,
   "claims": "KEY=VALUE,[KEY=VALUE,...]"
}

`user`	所要求憑證的所有者
`maxValiditySeconds`	傳回憑證允許的最大到期時間
`claims`	與所要求憑證相關聯的鍵值對宣告清單。MinIO 會保留並忽略 `exp`、`parent` 和 `sub` 宣告物件（如果存在）。

MinIO 會將包含用於發出已驗證要求的臨時憑證的回應傳回給 STS API 要求。

如果身分管理員拒絕驗證要求或以其他方式遇到錯誤，則回應必須傳回 403 FORBIDDEN HTTP 狀態碼，並具有 application/json 內容類型和具有以下結構的主體

{
     "reason": "<string>"
}

"reason" 欄位應包含 403 的原因。

建立符合聲明 (Claims) 的政策

使用 MinIO 主控台或 mc admin policy 命令來建立符合一個或多個聲明值的政策。