使用 Keycloak 設定 MinIO 進行身份驗證

概觀

此程序設定 MinIO 使用 Keycloak 作為外部身份提供者 (IDP)，透過 OpenID Connect (OIDC) 協議驗證使用者身份。

此程序具體涵蓋以下步驟

設定 Keycloak 以用於 MinIO 身份驗證和授權
設定新的或現有的 MinIO 叢集以使用 Keycloak 作為 OIDC 提供者
建立策略以控制 Keycloak 身份驗證使用者的存取權
使用 SSO 和 Keycloak 管理的身份登入 MinIO 主控台
使用 AssumeRoleWithWebIdentity 安全性權杖服務 (STS) API 產生臨時 S3 存取憑證

此程序是針對 Keycloak 21.0.0 撰寫和測試的。提供的說明可能適用於其他 Keycloak 版本。此程序假設您先前有 Keycloak 的使用經驗，並且已審閱他們的文件，以了解有關部署、設定和管理服務的指導和最佳實務。

先決條件

MinIO 部署

此程序假設現有的 MinIO 叢集執行最新的穩定 MinIO 版本。請參閱安裝和部署 MinIO，以取得有關新 MinIO 部署的更完整文件。

此程序可能適用於舊版本的 MinIO。

Keycloak 部署和領域設定

此程序假設現有的 Keycloak 部署，您具有管理員存取權。具體而言，您必須擁有在 Keycloak 部署上建立和設定領域、用戶端、用戶端範圍、領域角色、使用者和群組的權限。

此程序假設 Keycloak 和 MinIO 部署之間存在雙向存取。

安裝和設定 `mc` 以存取 MinIO 叢集

此程序使用 mc 來執行 MinIO 叢集上的操作。在可網路存取叢集的機器上安裝 mc。

請參閱 mc 的安裝快速入門，以取得下載和安裝 mc 的說明。

此程序假設您已為 MinIO 叢集設定 alias。

設定 MinIO 以使用 Keycloak 身份管理

1) 設定或建立用於存取 Keycloak 的用戶端

驗證 Keycloak 的管理控制台，並導覽至用戶端。

選取建立用戶端，並依照指示建立新的 Keycloak 用戶端以用於 MinIO。填入指定的輸入值如下

用戶端 ID	設定為 MinIO 的唯一識別碼 (`minio`)
用戶端類型	設定為 `OpenID Connect`
永遠顯示在主控台中	切換至 `開啟`
用戶端驗證	切換至 `開啟`
驗證流程	開啟 `標準流程`
(可選) 驗證流程	開啟 `直接存取授權`（API 測試）

Keycloak 會使用一組預設的組態值部署用戶端。根據您的 Keycloak 設定和所需的行為修改這些值。下表提供要設定的設定和值的基準

根 URL	設定為 `${authBaseUrl}`
首頁 URL	設定為您希望 MinIO 使用的領域 (`/realms/master/account/`)
有效的重新導向 URI	設定為 `*`
金鑰 -> 使用 JWKS URL	切換至 `開啟`
進階 -> 進階設定 -> 存取權杖存留時間	設定為 `1 小時`。

2) 為 MinIO 用戶端建立用戶端範圍

用戶端範圍允許 Keycloak 將使用者屬性對應為身份驗證請求中傳回的 JSON Web Token (JWT) 的一部分。這允許 MinIO 在將原則指派給使用者時參考這些屬性。此步驟會建立必要的用戶端範圍，以在成功進行 Keycloak 驗證後支援 MinIO 授權。

導覽至用戶端範圍檢視，並為 MinIO 授權建立新的用戶端範圍

名稱	設定為原則的任何可識別名稱 (`minio-authorization`)
包含在權杖範圍中	切換至 `開啟`

建立後，從清單中選取範圍並導覽至對應器。

選取設定新的對應器以建立新的對應

使用者屬性	選取對應器類型
名稱	設定為對應的任何可識別名稱 (`minio-policy-mapper`)
使用者屬性	設定為 `policy`
權杖宣告名稱	設定為 `policy`
新增至 ID 權杖	設定為 `開啟`
宣告 JSON 類型	設定為 `字串`
多值	設定為 `開啟` 這允許在單一宣告中設定多個 `policy` 值。
彙總屬性值	設定為 `開啟` 這允許使用者繼承其群組中設定的任何 `policy`

建立後，將用戶端範圍指派給 MinIO 用戶端。

導覽至用戶端並選取 MinIO 用戶端。
選取用戶端範圍，然後選取新增用戶端範圍。
選取先前建立的範圍，並將已指派的類型設定為 預設。

3) 將必要的屬性套用至 Keycloak 使用者/群組

您必須將名為 policy 的屬性指派給 Keycloak 使用者或群組。將值設定為 MinIO 部署上的任何原則。

對於使用者，導覽至使用者並選取或建立使用者

認證	如果尚未設定，請將使用者密碼設定為永久值
屬性	建立具有金鑰 `policy` 和任何原則值的新屬性 (`consoleAdmin`)

對於群組，導覽至群組並選取或建立群組

屬性	建立具有金鑰 `policy` 和任何原則值的新屬性 (`consoleAdmin`)

您可以將使用者指派至群組，使其繼承指定的 policy 屬性。如果您設定對應器設定以啟用彙總屬性值，Keycloak 會將原則的彙總陣列包含在已驗證使用者的 JWT 權杖中。MinIO 可以在授權使用者時使用此原則清單。

您可以使用 Keycloak API 來測試使用者的已設定原則

curl -d "client_id=minio" \
     -d "client_secret=secretvalue" \
     -d "grant_type=password" \
     -d "username=minio-user-1" \
     -d "password=minio-user-1-password" \
     http://keycloak-url.example.net:8080/realms/REALM/protocol/openid-connect/token

如果成功，則 access_token 會包含使用 MinIO AssumeRoleWithWebIdentity STS API 和產生 S3 認證所需的 JWT。

您可以使用 JWT 解碼器檢閱承載，並確保它包含列出一個或多個 MinIO 原則的 policy 金鑰。

4) 設定 MinIO 以進行 Keycloak 驗證

MinIO 支援多種設定 Keycloak 驗證的方法

使用 MinIO 主控台
使用終端機/命令殼層和 mc idp openid 命令
使用在啟動 MinIO 之前設定的環境變數

MinIO 主控台

以具有 MinIO 部署管理權限的使用者身分登入，例如具有 consoleAdmin 原則的使用者。

從左側導覽列選取身份，然後選取 OpenID。選取建立設定以建立新的設定。

在模式中輸入以下資訊

名稱	輸入 Keycloak 執行個體的唯一名稱
組態 URL	指定 Keycloak OpenID 組態文件的位址 (keycloak-url.example.net:8080) 確保 `REALM` 符合您要用於驗證 MinIO 使用者的 Keycloak 領域。
用戶端 ID	指定在步驟 1 中建立的 Keycloak 用戶端的名稱
用戶端密碼	指定在步驟 1 中建立的 Keycloak 用戶端的密碼憑證值
顯示名稱	指定 MinIO 主控台顯示的面向使用者的名稱，作為已設定 Keycloak 服務的單一登入 (SSO) 工作流程的一部分
範圍	指定要包含在 JWT 中的 OpenID 範圍，例如 `preferred_username` 或 `email` 您可以使用受支援的 OpenID 原則變數參考這些範圍，以用於程式化原則。
重新導向 URI 動態	切換至 `開啟` 替換客戶端使用的 MinIO 主控台位址，作為 Keycloak 重新導向 URI 的一部分。Keycloak 會使用提供的 URI 將已驗證的使用者傳回至主控台。對於反向 Proxy、負載平衡器或類似網路控制平面後面的 MinIO 主控台部署，您可以使用 `MINIO_BROWSER_REDIRECT_URL` 變數來設定 Keycloak 要使用的重新導向位址。

選取儲存以套用設定。

CLI

您可以使用 mc idp openid add 命令來建立 Keycloak 服務的新設定。此命令會採用所有受支援的 OpenID 組態設定

mc idp openid add ALIAS PRIMARY_IAM \
   client_id=MINIO_CLIENT \
   client_secret=MINIO_CLIENT_SECRET \
   config_url="https://keycloak-url.example.net:8080/realms/REALM/.well-known/openid-configuration" \
   display_name="SSO_IDENTIFIER"
   scopes="openid,email,preferred_username" \
   redirect_uri_dynamic="on"

`PRIMARY_IAM`	設定為 Keycloak 服務的唯一識別碼，例如 `keycloak_primary`
`MINIO_CLIENT` `MINIO_CLIENT_SECRET`	設定為在步驟 1 中設定的 Keycloak 用戶端 ID 和密碼
`config_url`	設定為 Keycloak OpenID 組態文件的位址 (keycloak-url.example.net:8080)
`display_name`	設定為 MinIO 主控台顯示的面向使用者的名稱，作為已設定 Keycloak 服務的單一登入 (SSO) 工作流程的一部分
`scopes`	設定為您要包含在 JWT 中的 OpenID 範圍清單，例如 `preferred_username` 或 `email`
`redirect_uri_dynamic`	設定為 `開啟` 替換客戶端使用的 MinIO 主控台位址，作為 Keycloak 重新導向 URI 的一部分。Keycloak 會使用提供的 URI 將已驗證的使用者傳回至主控台。對於反向 Proxy、負載平衡器或類似網路控制平面後面的 MinIO 主控台部署，您可以使用 `MINIO_BROWSER_REDIRECT_URL` 變數來設定 Keycloak 要使用的重新導向位址。

環境變數

在啟動容器之前，請先使用 -e ENVVAR=VALUE 旗標設定以下環境變數。

以下範例程式碼設定了將 Keycloak 設定為外部身分管理供應商時所需的最低限度環境變數。

MINIO_IDENTITY_OPENID_CONFIG_URL_PRIMARY_IAM="https://keycloak-url.example.net:8080/.well-known/openid-configuration"
MINIO_IDENTITY_OPENID_CLIENT_ID_PRIMARY_IAM="MINIO_CLIENT"
MINIO_IDENTITY_OPENID_CLIENT_SECRET_PRIMARY_IAM="MINIO_CLIENT_SECRET"
MINIO_IDENTITY_OPENID_DISPLAY_NAME_PRIMARY_IAM="SSO_IDENTIFIER"
MINIO_IDENTITY_OPENID_SCOPES_PRIMARY_IAM="openid,email,preferred_username"
MINIO_IDENTITY_OPENID_REDIRECT_URI_DYNAMIC_PRIMARY_IAM="on"

`_PRIMARY_IAM`	將後綴 `_PRIMARY_IAM` 替換為此 Keycloak 設定的唯一識別符。例如，`MINIO_IDENTITY_OPENID_CONFIG_URL_KEYCLOAK_PRIMARY`。如果您只打算為部署設定單一 OIDC 供應商，則可以省略後綴。
`CONFIG_URL`	指定 Keycloak OpenID 組態文件的位址 (keycloak-url.example.net:8080) 請確保 `REALM` 與您想要用於向 MinIO 驗證使用者的 Keycloak Realm 相符
`CLIENT_ID` `CLIENT_SECRET`	指定在步驟 1 中設定的 Keycloak 用戶端 ID 和密碼
`DISPLAY_NAME`	指定 MinIO 主控台顯示的面向使用者的名稱，作為已設定 Keycloak 服務的單一登入 (SSO) 工作流程的一部分
`OPENID_SCOPES`	指定您要包含在 JWT 中的 OpenID 範圍，例如 `preferred_username` 或 `email`
`REDIRECT_URI_DYNAMIC`	設定為 `開啟` 替換客戶端使用的 MinIO 主控台位址，作為 Keycloak 重新導向 URI 的一部分。Keycloak 會使用提供的 URI 將已驗證的使用者傳回至主控台。對於反向 Proxy、負載平衡器或類似網路控制平面後面的 MinIO 主控台部署，您可以使用 `MINIO_BROWSER_REDIRECT_URL` 變數來設定 Keycloak 要使用的重新導向位址。

有關這些變數的完整文件，請參閱OpenID 身分管理設定

重新啟動 MinIO 部署以套用變更。

檢查 MinIO 日誌，並確認啟動成功，且與 OIDC 設定無關的錯誤。

如果您嘗試使用主控台登入，現在應該會看到一個使用設定的顯示名稱的 (SSO) 按鈕。

指定已設定的使用者並嘗試登入。MinIO 應該會自動將您重新導向至 Keycloak 登入項目。成功驗證後，Keycloak 應該會使用原始主控台 URL *或*已設定的重新導向 URI 將您重新導向回 MinIO 主控台。

5) 使用安全權杖服務 (STS) 產生應用程式憑證

使用 S3 相容 SDK 的應用程式必須以存取金鑰和秘密金鑰的形式指定憑證。MinIO AssumeRoleWithWebIdentity API 會傳回必要的臨時憑證，包括使用 Keycloak 在驗證後傳回的 JWT 所需的工作階段權杖。

您可以使用以下 HTTP 呼叫順序和 curl 公用程式測試此工作流程

以 Keycloak 使用者身分驗證並擷取 JWT 權杖
```
curl -X POST "https://keycloak-url.example.net:8080/realms/REALM/protocol/openid-connect/token" \
     -H "Content-Type: application/x-www-form-urlencoded" \
     -d "username=USER" \
     -d "password=PASSWORD" \
     -d "grant_type=password" \
     -d "client_id=CLIENT" \
     -d "client_secret=SECRET"
```
- 將 USER 和 PASSWORD 替換為 REALM 上 Keycloak 使用者的憑證。
- 將 CLIENT 和 SECRET 替換為 REALM 上 MinIO 特定 Keycloak 用戶端的用戶端 ID 和密碼
您可以使用 jq 或類似的 JSON 格式化公用程式來處理結果。提取 access_token 欄位以擷取必要的存取權杖。請注意 expires_in 欄位，以記下權杖到期之前的秒數。
使用 AssumeRoleWithWebIdentity API 產生 MinIO 憑證
```
curl -X POST "https://minio-url.example.net:9000" \
     -H "Content-Type: application/x-www-form-urlencoded" \
     -d "Action=AssumeRoleWithWebIdentity" \
     -d "Version=2011-06-15" \
     -d "DurationSeconds=86000" \
     -d "WebIdentityToken=TOKEN"
```
將 TOKEN 替換為 Keycloak 傳回的 access_token 值。

API 會在成功時傳回包含以下金鑰的 XML 文件
- Credentials.AccessKeyId - Keycloak 使用者的存取金鑰
- Credentials.SecretAccessKey - Keycloak 使用者的秘密金鑰
- Credentials.SessionToken - Keycloak 使用者的工作階段權杖
- Credentials.Expiration - 產生憑證的到期日期

測試憑證

使用您偏好的 S3 相容 SDK，利用產生的憑證連線至 MinIO。

例如，以下使用 MinIO Python SDK 的 Python 程式碼會連線至 MinIO 部署，並傳回儲存貯體清單

from minio import Minio

client = MinIO(
   "minio-url.example.net:9000",
   access_key = "ACCESS_KEY",
   secret_key = "SECRET_KEY",
   session_token = "SESSION_TOKEN"
   secure = True
)

client.list_buckets()

後續步驟

應用程式應使用其所選的 SDK 實作 STS AssumeRoleWithWebIdentity 流程。當 STS 憑證到期時，應用程式應具有適當的邏輯，以便在重試並繼續操作之前重新產生 JWT 權杖、STS 權杖和 MinIO 憑證。

或者，使用者可以使用其 Keycloak 憑證，透過 MinIO 主控台產生存取金鑰，以便建立長期存活的 API 金鑰型存取。

啟用 Keycloak 管理 REST API

MinIO 支援使用 Keycloak 管理 REST API 來檢查已驗證的使用者是否存在，*且*是否在 Keycloak Realm 上啟用。此功能可讓 MinIO 更快速地移除先前驗證的 Keycloak 使用者的存取權。若沒有此功能，MinIO 可以停用已停用或已移除的使用者存取權的最早時間點是當最後擷取的驗證權杖到期時。

此程序假設現有的 MinIO 部署已設定 Keycloak 作為外部身分管理員。

1) 建立必要的用戶端範圍

瀏覽至用戶端範圍檢視畫面並建立新的範圍

名稱	將範圍設定為可辨識的名稱 (`minio-admin-API-access`)
對應器	選取設定新的對應器
目標對象	將名稱設定為對應的任何可辨識名稱 (`minio-admin-api-access-mapper`)
包含的用戶端目標對象	設定為 `security-admin-console`。

瀏覽至用戶端並選取 MinIO 用戶端

從服務帳戶角色中，選取指派角色並指派 admin 角色
從用戶端範圍中，選取新增用戶端範圍並新增先前建立的範圍

瀏覽至設定並確保驗證流程包含 服務帳戶角色。

2) 驗證管理 API 存取

您可以使用管理 REST API 和 MinIO 用戶端憑證來擷取持有者權杖和使用者資料，藉此驗證此功能

擷取持有者權杖

curl -d "client_id=minio" \
     -d "client_secret=secretvalue" \
     -d "grant_type=password" \
     http://keycloak-url:port/admin/realms/REALM/protocol/openid-connect/token

使用傳回的值作為 access_token 來存取管理 API

curl -H "Authentication: Bearer ACCESS_TOKEN_VALUE" \
     http://keycloak-url:port/admin/realms/REALM/users/UUID

將 UUID 替換為您要擷取的使用者唯一 ID。回應應類似於以下內容

{
   "id": "954de141-781b-4eaf-81bf-bf3751cdc5f2",
   "createdTimestamp": 1675866684976,
   "username": "minio-user-1",
   "enabled": true,
   "totp": false,
   "emailVerified": false,
   "firstName": "",
   "lastName": "",
   "attributes": {
      "policy": [
         "readWrite"
      ]
   },
   "disableableCredentialTypes": [],
   "requiredActions": [],
   "notBefore": 0,
   "access": {
      "manageGroupMembership": true,
      "view": true,
      "mapRoles": true,
      "impersonate": true,
      "manage": true
   }
}

如果傳回的值具有 enabled: false 或 null (使用者已從 Keycloak 移除)，MinIO 將會撤銷已驗證的使用者的存取權。

3) 在 MinIO 上啟用 Keycloak 管理支援

MinIO 支援多種設定 Keycloak 管理 API 支援的方法

使用終端機/命令殼層和 mc idp openid 命令
使用在啟動 MinIO 之前設定的環境變數

CLI

您可以使用 mc idp openid update 命令來修改現有 Keycloak 服務的設定。或者，您也可以在第一次設定 Keycloak 時包含以下設定。此命令會採用所有支援的 OpenID 設定設定

mc idp openid update ALIAS KEYCLOAK_IDENTIFIER \
   vendor="keycloak" \
   keycloak_admin_url="https://keycloak-url:port/admin"
   keycloak_realm="REALM"

將 KEYCLOAK_IDENTIFIER 替換為設定的 Keycloak IDP 名稱。您可以使用 mc idp openid ls 來檢視 MinIO 部署上所有已設定的 IDP 設定
在 keycloak_admin_url 設定設定中指定 Keycloak 管理 URL
在 keycloak_realm 中指定 Keycloak Realm 名稱