擦除码计算器 
参考硬件 外部身份管理
MinIO 通过以下身份提供者 (IDP) 支持多种外部身份管理器
以下教程提供了针对特定 IDP 软件的具体指导
用户可以使用其外部管理的凭据和相关的 安全令牌服务 (STS) API 对 MinIO 进行身份验证。验证后,MinIO 会尝试将用户与一个或多个配置的 策略 关联起来。没有关联策略的用户对 MinIO 部署没有权限。
OpenID Connect (OIDC)
MinIO 支持使用与 OpenID Connect (OIDC) 兼容的身份提供者 (IDP),例如 Okta、KeyCloak、Dex、Google 或 Facebook 来外部管理用户身份。配置外部 IDP 可启用单点登录工作流程,其中应用程序在访问 MinIO 之前对外部 IDP 进行身份验证。
MinIO 使用 基于策略的访问控制 (PBAC) 来定义经过身份验证的用户可以访问的操作和资源。MinIO 支持创建和管理 策略,外部管理的用户可以声明这些策略。
对于由外部 OpenID Connect (OIDC) 兼容提供者管理的身份,MinIO 使用 JSON Web Token 声明 来标识要分配给经过身份验证的用户的 策略。
默认情况下,MinIO 会查找 policy 声明并读取要分配的一个或多个策略列表。MinIO 会尝试将现有策略与 JWT 声明中指定的策略进行匹配。如果 MinIO 部署中不存在任何指定的策略,则 MinIO 会拒绝该用户发出的任何和所有操作的授权。例如,请考虑具有以下键值分配的声明
policy="readwrite_data,read_analytics,read_logs"
指定的策略声明指示 MinIO 将名称与 readwrite_data、read_analytics 和 read_logs 匹配的策略附加到经过身份验证的用户。
有关将 MinIO 策略映射到 OIDC 管理的身份的更多信息,请参阅 OpenID Connect 访问管理。
您可以使用 JWT 调试工具 对返回的 JWT 令牌进行解码,并验证用户属性是否包含指定的声明。有关 JWT 声明的更多信息,请参阅 RFC 7519:JWT 声明。有关如何配置用户声明的说明,请参考您首选的 OIDC 提供者的文档。
Active Directory / LDAP
MinIO 支持使用 Active Directory 或 LDAP (AD/LDAP) 服务来外部管理用户身份。配置外部身份提供者 (IDP) 可启用单点登录 (SSO) 工作流程,其中应用程序在访问 MinIO 之前对外部 IDP 进行身份验证。
查询 Active Directory / LDAP 服务
MinIO 查询配置的 Active Directory / LDAP 服务器以验证应用程序指定的凭据,并可选地返回用户所属的组列表。此过程称为查找绑定模式,它使用具有最低权限的 AD/LDAP 用户,仅足以与 AD/LDAP 服务器进行身份验证以进行用户和组查找。
对 AD/LDAP 管理的身份进行访问控制
MinIO 使用 基于策略的访问控制 (PBAC) 来定义经过身份验证的用户可以访问的操作和资源。 当使用 Active Directory/LDAP 服务器进行身份管理(身份验证)时,MinIO 通过 PBAC 维护对访问(授权)的控制。
当用户使用其 AD/LDAP 凭据成功身份验证到 MinIO 时,MinIO 会搜索与该用户的识别名称 (DN) 显式关联的所有 策略。 具体来说,该策略必须使用 mc idp ldap policy attach 命令分配给具有匹配 DN 的用户。
MinIO 还支持查询用户的 AD/LDAP 组成员资格。 MinIO 会尝试将现有策略与每个用户组的 DN 匹配。 经过身份验证的用户的完整权限集由其显式分配的和从组继承的策略组成。 有关更多信息,请参阅 组查找。
MinIO 使用默认拒绝行为,即没有显式分配或从组继承策略的用户无法访问 MinIO 部署上的任何资源。
MinIO 提供 内置策略 用于基本访问控制。 您可以使用 mc admin policy create 命令创建新的策略。
组查找
MinIO 支持查询 Active Directory / LDAP 服务器以获取经过身份验证的用户所属的组列表。 MinIO 会尝试将现有 策略 与每个组 DN 匹配,并将每个匹配的策略分配给经过身份验证的用户。
MinIO 运营商控制台提供了必要的字段,用于在配置新或现有 MinIO 租户的 AD/LDAP 身份管理时配置组查找。
