MinIO 伺服器文件
客戶登入
產品
MinIO 企業級物件儲存
概觀 架構
功能
適用於公有雲的 MinIO
AWS GCS Azure
適用於私有雲的 MinIO
OpenShift SUSE Rancher Tanzu
適用於裸機的 MinIO
Linux 和 Windows
決定您的原始和可用容量 Erasure Code 計算器 MinIO 的建議硬體設定 參考硬體
解決方案
AI 儲存 物件儲存正在推動 AI 革命。了解 MinIO 如何透過大規模效能引領 AI 儲存市場。 現代資料湖 現代、多引擎資料湖依賴於可提供大規模效能的物件儲存。深入了解這個核心 MinIO 使用案例。 混合雲 有效的多雲儲存策略依賴於使用可以在不同環境中無縫運作的架構和工具。 Equinix 透過在 Equinix 上使用 MinIO 將您的資料遷移到您控制的雲端,以降低成本,同時保持公有雲的鄰近性。 Splunk 了解 MinIO 如何為 Splunk SmartStore 提供大規模效能。 Snowflake 使用 Snowflake Data Cloud 查詢和分析多個資料來源,包括駐留在 MinIO 上的串流資料。無需移動資料,只需使用 SnowSQL 查詢。 SQL Server 探索如何將 SQL Server 2022 與 MinIO 配對,以便在任何雲端上執行資料查詢,而無需移動資料。 HDFS 遷移 透過來自 MinIO 的高效能、Kubernetes 原生物件儲存,實現大型資料儲存基礎架構的現代化和簡化。 VMware 探索 MinIO 如何在整個產品組合中與 VMware 整合,從持久資料平台到 TKG,以及我們如何支援他們的 Kubernetes 發展目標。 Veeam 了解 MinIO 和 Veeam 如何合作,為各種備份使用案例推動效能和可擴展性。 Commvault 了解 Commvault 和 MinIO 如何合作,為任務關鍵型備份和還原工作負載提供大規模效能。 整合 瀏覽我們廣泛的整合組合。
社群
GitHub 加入我們的 GitHub 開源社群:探索、實驗、提問和貢獻。 Slack 頻道 MinIO 社群 Slack 提供了一個開放的論壇,用於討論與 MinIO 相關的主題。所有支援均以盡力而為的方式提供。
文件 部落格 資源 訓練 合作夥伴 定價 下載

文件

適用於 macOS 的 MinIO 物件儲存

外部身分管理

MinIO 透過以下身分提供者 (IDP) 支援多個外部身分管理員

以下教學課程為選定的 IDP 軟體提供具體指南

使用者可以使用其外部管理的身分憑證和相關的 安全性權杖服務 (STS) API,針對 MinIO 進行驗證。驗證後,MinIO 會嘗試將使用者與一個或多個已設定的 原則 建立關聯。沒有關聯原則的使用者在 MinIO 部署中沒有任何權限。

OpenID Connect (OIDC)

MinIO 支援使用與 OpenID Connect (OIDC) 相容的身分提供者 (IDP),例如 Okta、KeyCloak、Dex、Google 或 Facebook,來進行使用者身分的外部管理。設定外部 IDP 可啟用單一登入工作流程,其中應用程式在存取 MinIO 之前先針對外部 IDP 進行驗證。

MinIO 使用 基於原則的存取控制 (PBAC) 來定義已驗證使用者可以存取的動作和資源。MinIO 支援建立和管理外部管理使用者可以聲明的 原則

對於由外部與 OpenID Connect (OIDC) 相容的提供者管理的身分,MinIO 使用 JSON Web Token 宣告 來識別要指派給已驗證使用者的 原則

MinIO 預設會尋找 policy 宣告,並讀取要指派的一或多個原則清單。MinIO 會嘗試將現有原則與 JWT 宣告中指定的原則進行比對。如果 MinIO 部署中不存在指定的任何原則,則 MinIO 會拒絕該使用者發出的任何和所有操作的授權。例如,請考慮具有以下鍵值指派的宣告

policy="readwrite_data,read_analytics,read_logs"

指定的原則宣告會指示 MinIO 將名稱與 readwrite_dataread_analyticsread_logs 比對的原則附加到已驗證的使用者。

您可以使用 MINIO_IDENTITY_OPENID_CLAIM_NAME 環境變數使用 mc admin config set 來設定 identity_openid claim_name 設定,以設定自訂的政策宣告。

請參閱 OpenID Connect 存取管理,以取得更多關於將 MinIO 政策對應到 OIDC 管理的身分驗證資訊。

您可以使用 JWT 除錯工具來解碼傳回的 JWT 令牌,並驗證使用者屬性是否包含指定的宣告。請參閱 RFC 7519:JWT 宣告,以取得更多關於 JWT 宣告的資訊。請參考您偏好的 OIDC 供應商的文件,以取得關於設定使用者宣告的說明。

Active Directory / LDAP

MinIO 支援使用 Active Directory 或 LDAP (AD/LDAP) 服務來外部管理使用者身分。設定外部身分提供者 (IDP) 可以啟用單一登入 (SSO) 工作流程,應用程式會在存取 MinIO 之前先對外部 IDP 進行身分驗證。

查詢 Active Directory / LDAP 服務

MinIO 查詢已設定的 Active Directory / LDAP 伺服器,以驗證應用程式指定的認證,並選擇性地傳回使用者所屬的群組清單。這個稱為「查詢繫結」模式的流程,使用具有最小權限的 AD/LDAP 使用者,權限僅足夠與 AD/LDAP 伺服器進行使用者和群組查詢的身分驗證。

以下分頁提供啟用「查詢繫結」模式所需的環境變數和組態設定參考。

請參閱 Active Directory / LDAP 設定 參考文件,以取得關於這些變數的更多資訊。設定 MinIO 使用 Active Directory / LDAP 進行身分驗證 教學包含關於設定這些值的完整說明。

請參閱 identity_ldap 參考文件,以取得關於這些設定的更多資訊。設定 MinIO 使用 Active Directory / LDAP 進行身分驗證 教學包含關於設定這些變數的完整說明。

AD/LDAP 管理的身分存取控制

MinIO 使用 基於政策的存取控制 (PBAC) 來定義已驗證的使用者可以存取的動作和資源。當使用 Active Directory/LDAP 伺服器進行身分管理 (身分驗證) 時,MinIO 會透過 PBAC 來維持對存取 (授權) 的控制。

當使用者使用其 AD/LDAP 認證成功向 MinIO 進行身分驗證時,MinIO 會搜尋所有明確與該使用者識別名稱 (DN) 相關聯的 政策。具體來說,必須使用 mc idp ldap policy attach 命令將政策指派給具有相符 DN 的使用者。

MinIO 也支援查詢使用者的 AD/LDAP 群組成員資格。MinIO 會嘗試將現有的政策與每個使用者群組的 DN 進行比對。已驗證的使用者完整權限集由明確指派和群組繼承的政策組成。請參閱 群組查詢,以取得更多資訊。

MinIO 使用預設拒絕行為,其中沒有明確指派或群組繼承政策的使用者無法存取 MinIO 部署上的任何資源。

MinIO 提供用於基本存取控制的 內建政策。您可以使用 mc admin policy create 命令建立新政策。

群組查詢

MinIO 支援查詢 Active Directory / LDAP 伺服器,以取得已驗證使用者所屬的群組清單。MinIO 會嘗試將現有的 政策 與每個群組 DN 進行比對,並將每個相符的政策指派給已驗證的使用者。

以下分頁提供啟用群組查詢所需的環境變數和組態設定參考。

請參閱 Active Directory / LDAP 設定 參考文件,以取得關於這些變數的更多資訊。設定 MinIO 使用 Active Directory / LDAP 進行身分驗證 教學包含關於設定這些值的完整說明。

請參閱 identity_ldap 參考文件,以取得關於這些設定的更多資訊。設定 MinIO 使用 Active Directory / LDAP 進行身分驗證 教學包含關於設定這些變數的完整說明。

本作品授權採用 創用 CC 姓名標示 4.0 國際授權條款。2020-至今,MinIO, Inc. 創用 CC 授權條款