MinIO 外部身分管理外掛程式

概觀

MinIO 身分管理外掛程式提供 REST 介面，用於透過 Webhook 服務將身分驗證卸載到外部身分管理員。

啟用後，用戶端應用程式會使用 AssumeRoleWithCustomToken STS API 擴充功能來產生 MinIO 的存取權杖。MinIO 會向已設定的外掛程式端點發出 POST 請求來驗證此權杖，並使用傳回的回應來判斷用戶端的驗證狀態。

組態設定

您可以使用以下環境變數或組態設定來設定 MinIO 身分管理外掛程式

MINIO_IDENTITY_PLUGIN_URL="https://external-auth.example.net:8080/auth"
MINIO_IDENTITY_PLUGIN_ROLE_POLICY="consoleAdmin"

# All other envvars are optional
MINIO_IDENTITY_PLUGIN_TOKEN="Bearer TOKEN"
MINIO_IDENTITY_PLUGIN_ROLE_ID="external-auth-provider"
MINIO_IDENTITY_PLUGIN_COMMENT="External Identity Management using PROVIDER"

mc admin config set identity_plugin \
   url="https://external-auth.example.net:8080/auth" \
   role_policy="consoleAdmin" \

   # All other config settings are optional
   token="Bearer TOKEN" \
   role_id="external-auth-provider" \
   comment="External Identity Management using PROVIDER"

身分驗證和授權流程

應用程式的登入流程如下

1. 使用 AssumeRoleWithCustomToken API 發出 POST 請求。

   請求包含已設定的外部身分管理員用於驗證用戶端的權杖。

2. MinIO 會使用指定給 STS API 的權杖，對已設定的身分外掛程式 URL 進行 POST 呼叫。

3. 成功驗證後，身分管理員會傳回 200 OK 回應，其中包含 application/json 內容類型和具有以下結構的本文

   {
      "user": "<string>",
      "maxValiditySeconds": 3600,
      "claims": "KEY=VALUE,[KEY=VALUE,...]"
   }
   

   user	請求的憑證擁有者
   maxValiditySeconds	傳回的憑證允許的最大到期時間
   claims	與請求的憑證關聯的索引鍵值配對宣告清單。MinIO 會保留並忽略 exp、parent 和 sub 宣告物件 (如果存在)。

4. MinIO 會傳回 STS API 請求的回應，其中包含用於發出已驗證請求的暫時憑證。

如果身分管理員拒絕驗證請求或以其他方式遇到錯誤，則回應必須傳回 403 FORBIDDEN HTTP 狀態碼，其中包含 application/json 內容類型和具有以下結構的本文

{
     "reason": "<string>"
}

"reason" 欄位應包含 403 的原因。

建立符合聲明的政策

使用 MinIO 控制台或 mc admin policy 命令來建立符合一個或多個聲明值的政策。