混合云对象存储
裸机
纠删码计算器
参考硬件
OpenID身份管理设置
本页面文档化了使用 OpenID Connect (OIDC) 兼容提供者启用外部身份管理的设置。 请参阅 OpenID访问和连接管理,以获取使用这些设置的教程。
您可以通过定义以下内容来建立或修改设置:
在启动或重新启动 MinIO 服务器之前,在宿主系统上定义一个 环境变量。 请参阅您的操作系统的文档,了解如何定义环境变量。
使用
mc admin config set命令来设置一个 配置项。使用 MinIO控制台 的 管理员 > 设置 页面来设置一个 配置项。
如果您同时定义了环境变量和类似的配置设置,MinIO 将使用环境变量的值。
有些设置只有环境变量或配置设置,而不是两者都有。
重要
每个配置设置都控制着MinIO的基本行为和功能。 MinIO 强烈建议 在较低的环境中,如DEV或QA,测试配置更改,然后再将其应用到生产环境中。
示例
MINIO_IDENTITY_OPENID_CONFIG_URL="https://openid-provider.example.net/.well-known/openid-configuration"
使用 mc admin config set 命令来设置或更新 OpenID 配置。
config_url 参数是 必须的。
将其他可选参数指定为空格 ( " " ) 分隔的列表。
mc admin config set identity_openid \
config_url="https://openid-provider.example.net/.well-known/openid-configuration" \
[ARGUMENT="VALUE"] ...
设置
Config URL
必需的
请指定兼容 OIDC 提供程序的 discovery document 的 URL.
典型的 OIDC Discovery URL 如下所示:
https://openid-provider.example.net/.well-known/openid-configuration
Enabled
可选
将此设置设置为 false 以禁用 OpenID 配置。
如果设置为 false ,应用程序将无法生成 STS 凭据或以其他方式使用配置的提供者对 MinIO 进行身份验证。
默认设置为 true 或 enabled 。
Client ID
可选
请指定在用户凭据与兼容 OIDC 提供程序进行身份验证时 MinIO 使用的唯一公共标识符。
客户秘密
可选
请指定在用户凭据与兼容 OIDC 提供程序进行身份验证时, MinIO 使用的客户端密钥。 根据提供程序不同,此字段可能是可选的。
在 RELEASE.2023-06-23T20-26-00Z 版本发生变更: 当作为 mc admin config get 的一部分返回时,MinIO 会编辑该值。
角色政策
可选
此设置与 Claim Name 设置互斥。
请指定一个逗号分隔的 策略名称 列表,用于为提供程序的所有身份验证请求使用请求的 RoleARN 。
指定的策略必须已经存在于 MinIO 服务器上。
要使用此 OIDC 配置,您必须在 STS 请求正文中指定相应的 RoleARN。
Claim Name
可选
此设置与 Role Policy 设置互斥。
请指定名称 JWT 声明 , MinIO 将使用它来识别要附加到经过身份验证 的用户的 策略。
该声明可以包含一个或多个逗号分隔的策略名称, 以附加到用户。该声明必须 至少 包含一个策略, 以使用户在 MinIO 服务器上具有任何权限。
默认为 policy 。
Claim Prefix
可选
此设置已过时,从 RELEASE.2024-07-13T01-46-15Z 起已被移除。
使用 MINIO_IDENTITY_OPENID_CLAIM_NAME 代替。
指定 JWT 声明 应用于指定声明名称的命名空间前缀。
Display Name
可选
请指定 MinIO 控制台显示在登录屏幕上的用户可见名称。
Scopes
可选
请指定一个逗号分隔的列表 范围 . 默认为发现文档中宣传的那些范围。
Redirect URI
可选
此设置已过时,从 RELEASE.2024-07-13T01-46-15Z 起已被移除。
使用 MINIO_BROWSER_REDIRECT_URL 代替。
重要
此参数已在 RELEASE.2023-02-27T18-10-45Z 中删除。
请改用 MINIO_BROWSER_REDIRECT_URL 环境变量。
MinIO控制台默认使用进行身份验证请求的节点的主机名。
对于位于负载均衡器或反向代理后面的MinIO部署,请指定此字段以确保OIDC提供程序将身份验证响应返回到正确的MinIO控制台URL。
包括控制台主机名、端口和 /oauth_callback :
http://minio.example.net:consoleport/oauth_callback
请确保使用 --console-address 选项启动MinIO服务器,以设置静态控制台监听端口。
如果省略该选项,则默认行为是在启动时选择一个随机端口号。
指定的URI 必须 与提供程序上已批准的重定向/回调URI之一匹配。 有关更多信息,请参见OpenID 身份验证请求。
Dynamic URI Redirect
可选
MinIO控制台默认使用向OIDC提供程序提供的重定向URI中的节点主机名作为身份验证请求的一部分。 对于使用轮询协议的负载均衡器后面的MinIO部署,这可能导致负载均衡器将响应返回给与源客户端不同的MinIO节点。
将此选项指定为 on ,以指示MinIO控制台使用发起请求的 Host 标头来构建传递给OIDC提供程序的重定向URI。
默认为 off .
User Info
可选
允许MinIO从 用户信息端点 获取已认证用户的声明。
有效的值是 on 或 off 。
Vendor
可选
指定OIDC供应商以启用该供应商支持的特定行为。
支持以下值:
keycloak
Keycloak Realm
可选
此设置要求将 OpenID Vendor 设置定义为 keycloak 。
指定要作为Keycloak 管理 API操作的一部分使用的Keycloak领域,例如 main 。
Keycloak Admin URL
可选
此设置要求 OpenID 供应商 设置定义为 keycloak 。
指定Keycloak管理API的URL。
如果配置为定期验证Keycloak认证用户是否处于活动/存在状态,则MinIO可以使用此URL。
例如, https://keycloak-endpoint:port/admin/ .
Comment
可选
指定要与符合 OIDC 的提供者 配置关联的注释。
商业支持购买咨询