Erasure Code 計算機 
參考硬體 OpenID 身分管理設定
本頁面說明使用 OpenID Connect (OIDC) 相容提供者啟用外部身分管理的設定。請參閱 OpenID Connect 存取管理,以取得有關使用這些設定的教學課程。
您可以透過定義來建立或修改設定
在啟動或重新啟動 MinIO 伺服器之前,在主機系統上定義環境變數。請參閱您的作業系統文件,了解如何定義環境變數。
使用
mc admin config set來定義組態設定。使用 MinIO 主控台的 管理員 > 設定頁面來定義組態設定。
如果您同時定義環境變數和類似的組態設定,MinIO 將使用環境變數值。
某些設定僅具有環境變數或組態設定,但並非兩者都有。
重要
每個組態設定都會控制 MinIO 的基本行為和功能。MinIO 強烈建議在套用到生產環境之前,先在較低的環境(例如開發或 QA)中測試組態變更。
範例
MINIO_IDENTITY_OPENID_CONFIG_URL="https://openid-provider.example.net/.well-known/openid-configuration"
使用 mc admin config set 來設定或更新 OpenID 組態。config_url 引數為必要引數。將其他選用引數指定為以空格 (" ") 分隔的清單。
mc admin config set identity_openid \
config_url="https://openid-provider.example.net/.well-known/openid-configuration" \
[ARGUMENT="VALUE"] ...
設定
設定 URL
必要
指定與 OIDC 相容的提供者 探索文件 的 URL。
OIDC 探索 URL 通常如下所示:
https://openid-provider.example.net/.well-known/openid-configuration
已啟用
選用
設定為 false 以停用 OpenID 組態。
如果設定為 false,應用程式無法使用已設定的提供者產生 STS 憑證或以其他方式向 MinIO 進行身份驗證。
預設為 true 或「已啟用」。
用戶端 ID
選用
指定 MinIO 在針對與 OIDC 相容的提供者驗證使用者憑證時所使用的唯一公開識別碼。
用戶端密碼
選用
指定 MinIO 在針對與 OIDC 相容的提供者驗證使用者憑證時所使用的用戶端密碼。此欄位可能會是選用的,具體取決於提供者。
變更於版本 RELEASE.2023-06-23T20-26-00Z:當此值作為 mc admin config get 的一部分傳回時,MinIO 會將此值遮蔽。
角色原則
選用
此設定與 Claim Name 設定互斥。
指定以逗號分隔的 原則名稱 清單,用於提供者所有驗證請求的請求 RoleArn。指定的原則或多個原則必須已存在於 MinIO 伺服器上。
若要使用此 OIDC 組態,您必須在 STS 請求主體中指定對應的 RoleArn。
聲明名稱
選用
此設定與 Role Policy 設定互斥。
指定 MinIO 用於識別要附加到已驗證使用者之 原則 的 JWT 聲明名稱。
此聲明可以包含一或多個以逗號分隔的原則名稱,以附加到使用者。此聲明必須包含至少一個原則,使用者才能在 MinIO 伺服器上擁有任何權限。
預設為 policy。
聲明前綴
選用
此設定已過時,並已從 RELEASE.2024-07-13T01-46-15Z 中移除。請改用 MINIO_IDENTITY_OPENID_CLAIM_NAME。
指定要套用至指定聲明名稱的 JWT 聲明命名空間前綴。
顯示名稱
選用
指定 MinIO 主控台在登入畫面中顯示的使用者可見名稱。
範圍
選用
指定以逗號分隔的 範圍 清單。預設為探索文件中宣告的範圍。
重新導向 URI
選用
此設定已過時,並已從 RELEASE.2024-07-13T01-46-15Z 中移除。請改用 MINIO_BROWSER_REDIRECT_URL。
重要
此參數已在 RELEASE.2023-02-27T18-10-45Z 中移除。請改用 MINIO_BROWSER_REDIRECT_URL 環境變數。
MinIO 主控台預設為使用發出驗證請求的節點主機名稱。對於負載平衡器或反向代理後面的 MinIO 部署,請指定此欄位以確保 OIDC 提供者將驗證回應傳回正確的 MinIO 主控台 URL。包括主控台主機名稱、連接埠和 /oauth_callback
http://minio.example.net:consoleport/oauth_callback
請確保使用 --console-address 選項啟動 MinIO 伺服器,以設定靜態的主控台監聽連接埠。省略該選項的預設行為是在啟動時選擇一個隨機連接埠號碼。
指定的 URI *必須* 與提供者上的其中一個核准重新導向/回呼 URI 相符。如需詳細資訊,請參閱 OpenID 驗證請求。
動態 URI 重新導向
選用
MinIO 主控台預設為使用發出驗證請求的節點主機名稱作為提供給 OIDC 提供者的重新導向 URI 的一部分。對於使用循環配置資源協定的負載平衡器後面的 MinIO 部署,這可能會導致負載平衡器將回應傳回至與原始用戶端不同的 MinIO 節點。
將此選項指定為 on,以指示 MinIO 主控台使用原始請求的 Host 標頭來建構傳遞給 OIDC 提供者的重新導向 URI。預設為 off。
使用者資訊
選用
允許 MinIO 從已驗證使用者的 使用者資訊端點 擷取聲明。
有效值為 on 或 off。
廠商
選用
指定 OIDC 廠商,以便為該廠商啟用特定的支援行為。
支援下列值
keycloak
Keycloak 領域
選用
此設定要求將 OpenID Vendor 設定定義為 keycloak。
指定 Keycloak Realm,以用作 Keycloak Admin API 操作的一部分,例如 main。
Keycloak 管理員 URL
選用
此設定要求將 OpenID Vendor 設定定義為 keycloak。
指定 Keycloak 管理員 API URL。如果 MinIO 設定為定期驗證經過身份驗證的 Keycloak 用戶是否處於活動/存在狀態,則可以使用此 URL。例如,https://keycloak-endpoint:port/admin/。
註解
選用
指定與 OIDC 相容的供應商組態相關聯的註解。
