OpenID 身份管理设置
This page documents settings for enabling external identity management using an OpenID Connect (OIDC)-compatible provider. SeeOpenID Connect 访问管理有关使用这些设置的教程。
您可以通过定义以下内容来建立或修改设置:
an 环境变量在启动或重启 MinIO 服务器之前,请在主机系统上设置此环境变量。 有关如何定义环境变量,请参阅操作系统的文档。
a 配置设置使用
mc admin config set.
如果您同时定义了环境变量和类似的配置设置,MinIO 将使用环境变量的值。
某些设置只有环境变量或配置设置,但没有两者都提供。
重要
每个配置设置控制着 MinIO 的基本行为和功能。 MinIO强烈建议在应用到生产环境之前,先在较低环境(如开发环境或测试环境)中测试配置变更。
示例
MINIO_IDENTITY_OPENID_CONFIG_URL="https://openid-provider.example.net/.well-known/openid-configuration"
使用mc admin config set设置或更新 OpenID 配置。config_url参数是必需指定额外的可选参数作为空格(" ")-分隔的列表。
mc admin config set identity_openid \
config_url="https://openid-provider.example.net/.well-known/openid-configuration" \
[ARGUMENT="VALUE"] ...
设置
配置URL
必需
指定 URL 地址为OIDC兼容提供商发现文档.
TheOIDCDiscovery URL 通常类似于以下格式:
https://openid-provider.example.net/.well-known/openid-configuration
已启用
可选
设置为false禁用 OpenID 配置。
如果设置为,应用程序无法生成 STS 凭证或使用配置的提供程序对 MinIO 进行身份验证false.
默认值为true或“enabled”。
Client ID
可选
指定 MinIO 在验证用户凭据时使用的唯一公共标识符OIDC兼容的提供程序。
客户端密钥
可选
指定 MinIO 在验证用户凭据时使用的客户端密钥OIDC兼容的提供程序。此字段 根据提供程序的不同,可能是可选的。
在版本 RELEASE.2023-06-23T20-26-00Z 中的变更:MinIO 在作为部分结果返回时会遮蔽此值mc admin config get.
角色策略
可选
此设置与Claim Name设置。
指定一个逗号分隔的列表策略名称用于请求的RoleArn对于该提供商的所有身份验证请求。
指定的策略必须已经存在于 MinIO 服务器上。
要使用此 OIDC 配置,您必须指定相应的RoleArn在 STS 请求体中。
索赔名称
可选
此设置与Role Policy设置。
指定名称JWT ClaimMinIO 用于识别策略附加到已认证用户。
该声明可以包含一个或多个逗号分隔的策略名称,以附加到用户。该声明必须包含至少用户需要在 MinIO 服务器上拥有任何权限的一个策略。
默认值为policy.
索赔前缀
可选
此设置已弃用,并已于RELEASE.2024-07-13T01-46-15Z使用MINIO_IDENTITY_OPENID_CLAIM_NAME相反。
指定JWT Claim应用于指定声明名称的命名空间前缀。
显示名称
可选
指定 MinIO 控制台在登录界面上显示的用户可见名称。
作用域
可选
指定一个逗号分隔的列表作用域默认为发现文档中公布的那些作用域。
重定向 URI
可选
此设置已弃用,并已于RELEASE.2024-07-13T01-46-15Z使用MINIO_BROWSER_REDIRECT_URL相反。
MinIO 控制台默认使用发起认证请求的节点主机名。
对于位于负载均衡器或反向代理后面的 MinIO 部署,请指定此字段以确保 OIDC 提供商将认证响应返回到正确的 MinIO 控制台 URL。
请包含控制台主机名、端口和/oauth_callback:
http://minio.example.net:consoleport/oauth_callback
确保启动 MinIO 服务器时--console-address设置静态控制台监听端口的选项。
省略该选项时的默认行为是在启动时选择一个随机端口号。
指定的URI必须与提供者上已批准的 redirect / callback URIs 之一匹配。 请参阅 OpenID认证请求欲了解更多信息。
动态 URI 重定向
可选
MinIO Console 默认使用发起认证请求的节点主机名作为提供给 OIDC 提供者的重定向 URI 的一部分。 对于使用轮询协议负载均衡器后端的 MinIO 部署,这可能导致负载均衡器将响应返回给与原始客户端不同的 MinIO 节点。
指定此选项为on将 MinIO 控制台定向到使用Host用于构建传递给 OIDC 提供者的重定向 URI 的原始请求头。
默认为off.
用户信息
可选
允许 MinIO 从外部获取声明UserInfo Endpoint对于已认证用户。
有效值为on or off.
供应商
可选
指定 OIDC 供应商以启用该供应商特定的支持行为。
支持以下值:
keycloak
Keycloak Realm
可选
此设置要求OpenID Vendor设置定义为keycloak.
指定要用于 Keycloak 管理 API 操作的 Keycloak Realm,例如main.
Keycloak 管理 URL
可选
此设置要求OpenID Vendor设置定义为keycloak.
指定 Keycloak Admin API URL。
如果配置 MinIO 定期验证已认证的 Keycloak 用户为活跃/存在状态,则可以使用此 URL。
例如,https://keycloak-endpoint:port/admin/.
评论
可选
指定要关联的注释OIDC兼容的提供程序配置。
