MinIO 服务器文档
客户登录
产品
MinIO 企业对象存储
概述 架构
特性
MinIO 用于公共云
AWS GCS Azure
MinIO 用于私有云
OpenShift SUSE Rancher Tanzu
MinIO 用于裸机
Linux 和 Windows
确定您的原始容量和可用容量 擦除码计算器 MinIO 的推荐硬件配置 参考硬件
解决方案
AI 存储 对象存储正在推动 AI 革命。了解 MinIO 如何通过大规模性能引领 AI 存储市场。 现代数据湖 现代的多引擎数据湖依赖于能够提供大规模性能的对象存储。详细了解此 MinIO 核心用例。 混合云 有效的混合云存储策略依赖于利用可以在不同环境中无缝运行的架构和工具。 Equinix 将您的数据迁移到您控制的云中,在 Equinix 上使用 MinIO,降低成本,同时保持公共云邻近性。 Splunk 了解 MinIO 如何为 Splunk SmartStore 提供大规模性能。 Snowflake 使用 Snowflake Data Cloud 查询和分析驻留在 MinIO 上的多个数据源,包括流数据。无需移动数据,只需使用 SnowSQL 查询即可。 SQL Server 了解如何将 SQL Server 2022 与 MinIO 配对,以在任何云上运行您的数据查询,而无需移动数据。 HDFS 迁移 使用 MinIO 的高性能、Kubernetes 原生对象存储,现代化和简化您的海量数据存储基础架构。 VMware 了解 MinIO 如何与 VMware 在整个产品组合中集成,从持久数据平台到 TKG,以及我们如何支持他们的 Kubernetes 愿景。 Veeam 了解 MinIO 和 Veeam 如何合作,为各种备份用例提供性能和可扩展性。 Commvault 了解 Commvault 和 MinIO 如何合作,为关键任务备份和恢复工作负载提供大规模性能。 集成 浏览我们丰富的集成产品组合。
社区
GitHub 加入我们的 GitHub 开源社区:探索、实验、提问和贡献。 Slack 频道 MinIO 社区 Slack 为讨论与 MinIO 相关的主题提供了一个开放论坛。所有支持均以尽力而为的方式提供。
文档 博客 资源 培训 合作伙伴 定价 下载

文档

MinIO 对象存储用于容器

外部身份管理

MinIO 通过以下身份提供者 (IDP) 支持多个外部身份管理器

以下教程为选定的 IDP 软件提供特定指导

用户可以使用其外部管理的凭据和相关的 安全令牌服务 (STS) API 对 MinIO 进行身份验证。一旦身份验证成功,MinIO 会尝试将用户与一个或多个配置的 策略 关联起来。没有关联策略的用户对 MinIO 部署没有权限。

OpenID Connect (OIDC)

MinIO 支持使用 OpenID Connect (OIDC) 兼容的身份提供者 (IDP),例如 Okta、KeyCloak、Dex、Google 或 Facebook 来外部管理用户身份。配置外部 IDP 启用单点登录工作流程,其中应用程序在访问 MinIO 之前先对外部 IDP 进行身份验证。

MinIO 使用 基于策略的访问控制 (PBAC) 来定义已验证用户可以访问的操作和资源。MinIO 支持创建和管理 策略,外部管理的用户可以声明这些策略。

对于由外部 OpenID Connect (OIDC) 兼容提供者管理的身份,MinIO 使用 JSON Web 令牌声明 来识别要分配给已验证用户的 策略

默认情况下,MinIO 会查找 policy 声明,并读取一个或多个要分配的策略列表。MinIO 会尝试将现有策略与 JWT 声明中指定的策略进行匹配。如果 MinIO 部署中不存在任何指定的策略,则 MinIO 会拒绝该用户发出的任何和所有操作的授权。例如,考虑一个包含以下键值分配的声明

policy="readwrite_data,read_analytics,read_logs"

指定的策略声明指示 MinIO 将名称与 readwrite_dataread_analyticsread_logs 匹配的策略附加到已验证用户。

您可以使用 MINIO_IDENTITY_OPENID_CLAIM_NAME 环境变量 使用 mc admin config set 设置 identity_openid claim_name 设置来设置自定义策略声明。

有关将 MinIO 策略映射到 OIDC 管理的身份的更多信息,请参阅 OpenID Connect 访问管理

您可以使用 JWT 调试工具 解码返回的 JWT 令牌并验证用户属性是否包含指定的声明。有关 JWT 声明的更多信息,请参阅 RFC 7519:JWT 声明。有关配置用户声明的说明,请参阅您首选的 OIDC 提供商的文档。

活动目录/LDAP

MinIO 支持使用活动目录或 LDAP (AD/LDAP) 服务来进行外部用户身份管理。配置外部身份提供者 (IDP) 使得单点登录 (SSO) 工作流成为可能,在这种工作流中,应用程序在访问 MinIO 之前会对外部 IDP 进行身份验证。

查询活动目录/LDAP 服务

MinIO 查询配置的活动目录/LDAP 服务器以验证应用程序指定的凭据,并可选地返回用户所属的组列表。此过程称为查找绑定模式,它使用具有最低权限的 AD/LDAP 用户,仅限于对 AD/LDAP 服务器进行身份验证以进行用户和组查找。

以下选项卡提供了启用查找绑定模式所需的環境變數和配置設置的參考。

有关这些变量的更多信息,请参阅 活动目录/LDAP 设置 参考文档。 使用活动目录/LDAP 配置 MinIO 进行身份验证 教程包含有关设置这些值的完整说明。

有关这些设置的更多信息,请参阅 identity_ldap 参考文档。 使用活动目录/LDAP 配置 MinIO 进行身份验证 教程包含有关设置这些值的完整说明。

AD/LDAP 管理身份的访问控制

MinIO 使用 基于策略的访问控制 (PBAC) 来定义已验证用户可以访问的操作和资源。使用活动目录/LDAP 服务器进行身份管理(身份验证)时,MinIO 通过 PBAC 保持对访问(授权)的控制。

当用户使用其 AD/LDAP 凭据成功验证到 MinIO 时,MinIO 会搜索所有明确关联到该用户区分名称 (DN) 的 策略。具体而言,策略必须使用 mc idp ldap policy attach 命令分配给具有匹配 DN 的用户。

MinIO 还支持查询用户的 AD/LDAP 组成员资格。MinIO 尝试将现有策略与每个用户组的 DN 进行匹配。已验证用户的完整权限集包括其明确分配的策略和组继承的策略。有关更多信息,请参阅 组查找

MinIO 使用默认拒绝行为,即没有明确分配或组继承策略的用户无法访问 MinIO 部署上的任何资源。

MinIO 提供 内置策略 用于基本访问控制。您可以使用 mc admin policy create 命令创建新策略。

组查找

MinIO 支持查询活动目录/LDAP 服务器以获取已验证用户所属的组列表。MinIO 尝试将现有 策略 与每个组 DN 进行匹配,并将每个匹配的策略分配给已验证用户。

以下选项卡提供了启用组查找所需的環境變數和配置設置的參考。

有关这些变量的更多信息,请参阅 活动目录/LDAP 设置 参考文档。 使用活动目录/LDAP 配置 MinIO 进行身份验证 教程包含有关设置这些值的完整说明。

有关这些设置的更多信息,请参阅 identity_ldap 参考文档。 使用活动目录/LDAP 配置 MinIO 进行身份验证 教程包含有关设置这些值的完整说明。

本作品采用 知识共享署名 4.0 国际许可协议 进行许可。2020-至今,MinIO, Inc. 知识共享许可协议