From 7d2913febf21e7b835ac14e445f4edf86c1f5532 Mon Sep 17 00:00:00 2001 From: chapeau Date: Thu, 20 Jun 2024 15:16:23 +0200 Subject: [PATCH] edit minio sso --- _posts/2024-06-11-backup-minio.md | 8 +++++++- 1 file changed, 7 insertions(+), 1 deletion(-) diff --git a/_posts/2024-06-11-backup-minio.md b/_posts/2024-06-11-backup-minio.md index f389383..16474bb 100644 --- a/_posts/2024-06-11-backup-minio.md +++ b/_posts/2024-06-11-backup-minio.md @@ -129,7 +129,13 @@ Une fois que tout fonctionne, on peut créer un cron pour lancer automatiquement ## Et ma SSO dans tout ça ? -Une fois un service de SSO configuré sur MinIO (laissé à titre d'exercice au lecteur), la solution précédente, en plus de ne pas être sécurisée, n'est plus possible : MinIO ne manipule plus de mot de passe pour le compte utilisateur. Il faut donc utiliser une Access Key. Malheureusement, utiliser directement l'Access Key dans la configuration précédente à la place des identifiants du compte ne fonctionne pas. Il va falloir rajouter un outil : `aws-cli`. Rassurez vous, bien que développé par AWS pour ses API, cet outil fonctionne parfaitement avec les autres solutions compatibles S3 et n'envoie aucune information à AWS. +Une fois un service de SSO configuré sur MinIO (laissé à titre d'exercice au lecteur), + +> **Modification au 20/06/2024 :** +> La configuration du SSO sur MinIO est moins simple que je le pensais et mériterait sa propre section. Il est en effet nécessaire de rédiger une Policy, associée à la configuration OpenID, pour définir les droits d'accès des utilisateurs connectés via SSO. Par exemple, pour reprendre la méthode utilisée ici et autoriser chaque utilisateur à créer un bucket en son nom, vous pouvez donner les droits `s3:*` sur `arn:aws:s3:::${aws:username}`, et `s3:List*` sur `arn:aws:s3:::*`. +> A noter cependant, que [Gitlab a un bug qui l'empêche d'être utilisé pour cet usage](https://gitlab.com/gitlab-org/gitlab/-/issues/351725). + +la solution précédente, en plus de ne pas être sécurisée, n'est plus possible : MinIO ne manipule plus de mot de passe pour le compte utilisateur. Il faut donc utiliser une Access Key. Malheureusement, utiliser directement l'Access Key dans la configuration précédente à la place des identifiants du compte ne fonctionne pas. Il va falloir rajouter un outil : `aws-cli`. Rassurez vous, bien que développé par AWS pour ses API, cet outil fonctionne parfaitement avec les autres solutions compatibles S3 et n'envoie aucune information à AWS. Commençons par nous connecter avec notre compte SSO à MinIO, puis par y générer une Access Key. Installons ensuite `aws-cli` sur la machine à backup, et configurons le :