chapeau/blog
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

edit minio sso
Some checks failed
ci/woodpecker/push/woodpecker Pipeline failed
Details

Browse source
This commit is contained in:
chapeau 2024-06-20 15:16:23 +02:00
parent a194c0dd76
commit 7d2913febf
1 changed files with 7 additions and 1 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

8
_posts/2024-06-11-backup-minio.md
View file

@ -129,7 +129,13 @@ Une fois que tout fonctionne, on peut créer un cron pour lancer automatiquement
## Et ma SSO dans tout ça ?
Une fois un service de SSO configuré sur MinIO (laissé à titre d'exercice au lecteur), la solution précédente, en plus de ne pas être sécurisée, n'est plus possible : MinIO ne manipule plus de mot de passe pour le compte utilisateur. Il faut donc utiliser une Access Key. Malheureusement, utiliser directement l'Access Key dans la configuration précédente à la place des identifiants du compte ne fonctionne pas. Il va falloir rajouter un outil : `aws-cli`. Rassurez vous, bien que développé par AWS pour ses API, cet outil fonctionne parfaitement avec les autres solutions compatibles S3 et n'envoie aucune information à AWS.
Une fois un service de SSO configuré sur MinIO (laissé à titre d'exercice au lecteur),
> **Modification au 20/06/2024 :**
> La configuration du SSO sur MinIO est moins simple que je le pensais et mériterait sa propre section. Il est en effet nécessaire de rédiger une Policy, associée à la configuration OpenID, pour définir les droits d'accès des utilisateurs connectés via SSO. Par exemple, pour reprendre la méthode utilisée ici et autoriser chaque utilisateur à créer un bucket en son nom, vous pouvez donner les droits `s3:*` sur `arn:aws:s3:::${aws:username}`, et `s3:List*` sur `arn:aws:s3:::*`.
> A noter cependant, que [Gitlab a un bug qui l'empêche d'être utilisé pour cet usage](https://gitlab.com/gitlab-org/gitlab/-/issues/351725).
la solution précédente, en plus de ne pas être sécurisée, n'est plus possible : MinIO ne manipule plus de mot de passe pour le compte utilisateur. Il faut donc utiliser une Access Key. Malheureusement, utiliser directement l'Access Key dans la configuration précédente à la place des identifiants du compte ne fonctionne pas. Il va falloir rajouter un outil : `aws-cli`. Rassurez vous, bien que développé par AWS pour ses API, cet outil fonctionne parfaitement avec les autres solutions compatibles S3 et n'envoie aucune information à AWS.
Commençons par nous connecter avec notre compte SSO à MinIO, puis par y générer une Access Key. Installons ensuite `aws-cli` sur la machine à backup, et configurons le :