文档基于2025-10-10日社区最终版构建     
切换到英文版    进入演示系统    进入交流社区

MinIO Documentation

MinIO 对象存储

外部身份管理

MinIO 支持通过以下身份提供商(IDP)连接多种外部身份管理器:

以下教程为选定的 IDP 软件提供具体指导:

用户可以使用其外部管理的凭据和相关安全令牌服务 (STS)API. 一旦认证通过,MinIO 会尝试将用户与一个或多个已配置的策略没有关联策略的用户在 MinIO 部署中没有任何权限。

OpenID Connect (OIDC)

MinIO支持使用OpenID Connect (OIDC) 兼容的身份提供商 (IDP),例如 Okta、KeyCloak、Dex、Google 或 Facebook,以实现用户身份的外部管理。 配置外部IDP支持单点登录工作流,应用程序可通过外部系统进行身份验证IDP在访问 MinIO 之前。

MinIO 使用基于策略的访问控制 (PBAC)定义经过身份验证的用户可以访问的操作和资源。 MinIO 支持创建和管理策略外部管理的用户可以认领的。

对于由外部 OpenID Connect (OIDC) 兼容提供商管理的身份,MinIO 使用JSON Web Token 声明识别政策分配给已认证用户。

MinIO 默认会查找一个policy声明并读取要分配的一个或多个策略列表。MinIO 会尝试将现有策略与 JWT 声明中指定的策略进行匹配。 如果 MinIO 部署中不存在任何指定的策略,MinIO 将拒绝该用户发出的所有操作授权。 例如,考虑包含以下键值分配的声明:

policy="readwrite_data,read_analytics,read_logs"

指定的策略声明指示MinIO附加名称匹配的策略readwrite_data, read_analyticsread_logs给已认证的用户。

您可以使用自定义策略声明来设置MINIO_IDENTITY_OPENID_CLAIM_NAME环境变量or通过使用mc admin config setto set theidentity_openid claim_name设置。

OpenID Connect 访问管理有关将 MinIO 策略映射到 OIDC 托管身份的更多信息。

您可以使用一个JWT调试工具解码返回的JWT令牌并验证用户属性包含指定的声明。 参见RFC 7519: JWT 声明有关 JWT 声明的更多信息。 请参阅您首选 OIDC 提供商的文档,了解如何配置用户声明。

Active Directory / LDAP

MinIO 支持使用 Active Directory 或 LDAP (AD/LDAP) 服务进行外部用户身份管理。配置外部身份提供商 (IDP) 可实现单点登录 (SSO) 工作流,应用程序在访问 MinIO 之前会先通过外部 IDP 进行身份验证。

查询 Active Directory / LDAP 服务

MinIO 会查询配置的 Active Directory / LDAP 服务器,以验证应用程序指定的凭据,并可选择返回用户所属组的列表。 此过程称为 Lookup-Bind 模式,它使用一个具有最低权限的 AD/LDAP 用户,该权限仅足以通过 AD/LDAP 服务器进行用户和组查找的身份验证。

以下选项卡提供了启用 Lookup-Bind 模式所需的环境变量和配置设置的参考信息。

查看Active Directory / LDAP Settings有关这些变量的更多信息,请参阅参考文档。配置 MinIO 使用 Active Directory / LDAP 进行身份验证本教程包含设置这些值的完整说明。

查看identity_ldap有关这些设置的更多信息,请参阅参考文档。配置 MinIO 使用 Active Directory / LDAP 进行身份验证本教程包含设置这些变量的完整说明。

AD/LDAP 托管身份访问控制

MinIO 使用基于策略的访问控制 (PBAC)定义经过身份验证的用户可以访问的操作和资源。 当使用 Active Directory/LDAP 服务器进行身份管理(认证)时,MinIO 通过 PBAC 保持对访问(授权)的控制。

当用户使用其AD/LDAP凭据成功验证到MinIO时,MinIO会搜索所有策略这些策略明确关联到该用户的专有名称(DN)。 具体来说,必须通过匹配的DN将策略分配给用户,使用mc idp ldap policy attach命令。

MinIO also supports querying for the user’s AD/LDAP group membership. MinIO 支持查询用户的 AD/LDAP 组成员身份。 MinIO attempts to match existing policies to the DN for each of the user’s groups. MinIO 会尝试将现有策略与用户每个组的 DN 进行匹配。 The authenticated users complete set of permissions consists of its explicitly assigned and group-inherited policies. 经过身份验证的用户完整权限集包括其显式分配的策略和组继承的策略。 See 参见群组查找欲了解更多信息。

MinIO 采用默认拒绝行为,即没有显式分配或组继承策略的用户无法访问 MinIO 部署中的任何资源。

MinIO 提供内置策略用于基本访问控制。 您可以使用以下方式创建新策略:mc admin policy create命令。

群组查找

MinIO 支持查询 Active Directory / LDAP 服务器以获取已认证用户所属的群组列表。 MinIO 尝试匹配现有的策略为每个组 DN 分配相应的策略,并将每个匹配的策略分配给已认证用户。

以下选项卡提供了启用组查找所需的环境变量和配置设置参考:

查看Active Directory / LDAP Settings有关这些变量的更多信息,请参阅参考文档。配置 MinIO 使用 Active Directory / LDAP 进行身份验证本教程包含设置这些值的完整说明。

查看identity_ldap有关这些设置的更多信息,请参阅参考文档。配置 MinIO 使用 Active Directory / LDAP 进行身份验证本教程包含设置这些变量的完整说明。

本作品采用知识共享 署名 4.0 国际许可协议2020年至今,MinIO公司 Creative Commons License