`AssumeRoleWithLDAPIdentity`

MinIO 安全令牌服务 (STS)AssumeRoleWithLDAPIdentityAPI endpoint generates temporary access credentials using Active Directory or LDAP user credentials. This page documents the MinIO serverAssumeRoleWithLDAPIdentity端点。有关使用 S3 兼容 SDK 实现 STS 的说明，请参阅该 SDK 的文档。

MinIO STSAssumeRoleWithLDAPIdentityAPI endpoint 是参照 AWS 建模的AssumeRoleWithWebIdentityendpoint 并共享特定的请求/响应元素。本页记录了 MinIO 特定的语法，并链接到 AWS 参考文档以了解所有共享元素。

请求端点

TheAssumeRoleWithLDAPIdentityendpoint 具有以下形式：

POST https://minio.example.net?Action=AssumeRoleWithLDAPIdentity[&ARGS]

以下示例使用了所有支持的参数。请替换minio.example.net使用您 MinIO 集群对应的 URL 替换 hostname：

POST https://minio.example.net?Action=AssumeRoleWithLDAPIdentity
&LDAPUsername=USERNAME
&LDAPPassword=PASSWORD
&Version=2011-06-15
&Policy={}

请求查询参数

此端点支持以下查询参数：

参数	类型	描述
`LDAPUsername`	字符串	必需指定您希望以哪个 AD/LDAP 用户的用户名进行身份验证。
`LDAPPassword`	字符串	必需指定密码`LDAPUsername`.
`Version`	字符串	必需指定`2011-06-15`.
`DurationSeconds`	整数	可选指定临时凭据过期的秒数。默认为`3600`. 最小值为`900`或 15 分钟。最大值为`604800`或 7 天。 If `DurationSeconds`被省略时，MinIO 会检查 JWT 令牌中的`exp`在使用默认持续时间之前进行声明。请参阅RFC 7519 4.1.4: 过期时间声明有关 JSON Web Token 过期时间的更多信息。
`Policy`	字符串	可选指定 URL 编码的 JSON 格式政策用作内联会话策略。最小字符串长度为`1`. 最大字符串长度为`2048`. 临时凭证的最终权限是政策匹配专有名称 (DN) 的`LDAPUsername`以及指定的内联策略。应用程序只能执行那些被明确授权的操作。内联策略可以指定DN策略中允许的权限子集。应用程序绝不能假设超出DN策略中指定的权限。省略以仅使用 DN 策略。看访问管理有关 MinIO 身份验证和授权的更多信息。

响应元素

此 API 端点的 XML 响应与 AWS 类似AssumeRoleWithLDAPIdentity 响应具体来说，MinIO 返回一个AssumeRoleWithLDAPIdentityResult对象，其中AssumedRoleUser.Credentialsobject 包含由 MinIO 生成的临时凭证：

AccessKeyId- 应用程序用于身份验证的访问密钥。
SecretKeyId- 应用程序用于身份验证的密钥。
Expiration- 该RFC3339凭证过期后的日期和时间。
SessionToken- 应用程序用于身份验证的会话令牌。某些 SDK 在使用临时凭证时可能需要此字段。

以下示例类似于 MinIO STS 返回的响应AssumeRoleWithLDAPIdentityendpoint:

<?xml version="1.0" encoding="UTF-8"?>
<AssumeRoleWithLDAPIdentityResponse xmlns="https://sts.amazonaws.com/doc/2011-06-15/">
<AssumeRoleWithLDAPIdentityResult>
   <AssumedRoleUser>
      <Arn/>
      <AssumeRoleId/>
   </AssumedRoleUser>
   <Credentials>
      <AccessKeyId>Y4RJU1RNFGK48LGO9I2S</AccessKeyId>
      <SecretAccessKey>sYLRKS1Z7hSjluf6gEbb9066hnx315wHTiACPAjg</SecretAccessKey>
      <Expiration>2019-08-08T20:26:12Z</Expiration>
      <SessionToken>eyJhbGciOiJIUzUxMiIsInR5cCI6IkpXVCJ9.eyJhY2Nlc3NLZXkiOiJZNFJKVTFSTkZHSzQ4TEdPOUkyUyIsImF1ZCI6IlBvRWdYUDZ1Vk80NUlzRU5SbmdEWGo1QXU1WWEiLCJhenAiOiJQb0VnWFA2dVZPNDVJc0VOUm5nRFhqNUF1NVlhIiwiZXhwIjoxNTQxODExMDcxLCJpYXQiOjE1NDE4MDc0NzEsImlzcyI6Imh0dHBzOi8vbG9jYWxob3N0Ojk0NDMvb2F1dGgyL3Rva2VuIiwianRpIjoiYTBiMjc2MjktZWUxYS00M2JmLTg3MzktZjMzNzRhNGNkYmMwIn0.ewHqKVFTaP-j_kgZrcOEKroNUjk10GEp8bqQjxBbYVovV0nHO985VnRESFbcT6XMDDKHZiWqN2vi_ETX_u3Q-w</SessionToken>
   </Credentials>
</AssumeRoleWithLDAPIdentityResult>
<ResponseMetadata/>
</AssumeRoleWithLDAPIdentityResponse>

错误元素

此 API 端点的 XML 错误响应与 AWS 类似AssumeRoleWithLDAPIdentity 响应.