MinIO 外部身分管理外掛程式

概觀

MinIO 身分管理外掛程式提供了一個 REST 介面，用於透過 webhook 服務將驗證卸載到外部身分管理員。

啟用後，用戶端應用程式會使用 AssumeRoleWithCustomToken STS API 擴充功能來產生 MinIO 的存取權杖。MinIO 會透過向已設定的外掛程式端點發出 POST 請求來驗證此權杖，並使用傳回的回應來判斷用戶端的驗證狀態。

組態設定

您可以使用下列環境變數或組態設定來設定 MinIO 身分管理外掛程式

環境變數

將下列環境變數指定到部署中的每個 MinIO 伺服器

MINIO_IDENTITY_PLUGIN_URL="https://external-auth.example.net:8080/auth"
MINIO_IDENTITY_PLUGIN_ROLE_POLICY="consoleAdmin"

# All other envvars are optional
MINIO_IDENTITY_PLUGIN_TOKEN="Bearer TOKEN"
MINIO_IDENTITY_PLUGIN_ROLE_ID="external-auth-provider"
MINIO_IDENTITY_PLUGIN_COMMENT="External Identity Management using PROVIDER"

組態設定

使用 mc admin config set 命令設定下列組態設定

mc admin config set identity_plugin \
   url="https://external-auth.example.net:8080/auth" \
   role_policy="consoleAdmin" \

   # All other config settings are optional
   token="Bearer TOKEN" \
   role_id="external-auth-provider" \
   comment="External Identity Management using PROVIDER"

驗證和授權流程

應用程式的登入流程如下

使用 AssumeRoleWithCustomToken API 發出 POST 請求。

請求包含已設定的外部身分管理員用於驗證用戶端的權杖。
MinIO 會使用指定給 STS API 的權杖，對已設定的身分外掛程式 URL 發出 POST 呼叫。

成功驗證後，身分管理員會傳回 200 OK 回應，其中包含 application/json 內容類型和具有下列結構的本文

{
   "user": "<string>",
   "maxValiditySeconds": 3600,
   "claims": "KEY=VALUE,[KEY=VALUE,...]"
}

`user`	請求認證的擁有者
`maxValiditySeconds`	傳回的認證允許的最大到期持續時間
`claims`	與請求的認證相關聯的索引鍵值組宣告清單。如果存在，MinIO 會保留並忽略 `exp`、`parent` 和 `sub` 宣告物件。

MinIO 會將回應傳回給 STS API 請求，其中包含用於發出已驗證請求的暫時認證。

如果身分管理員拒絕驗證請求或遇到其他錯誤，回應必須傳回 403 FORBIDDEN HTTP 狀態碼，其中包含 application/json 內容類型和具有下列結構的本文

{
     "reason": "<string>"
}

"reason" 欄位應包含 403 的原因。

建立符合宣告的原則

使用 MinIO 控制台或 mc admin policy 命令來建立符合一或多個宣告值的原則。