authentik, minio: initial integration with blueprints for admin policy

2024-12-21 00:42:22 -08:00 · 2024-12-21 00:42:22 -08:00 · dbdd2cfe11
commit dbdd2cfe11
parent 1be4868f09
5 changed files with 155 additions and 111 deletions
--- a/group_vars/alpina/vars.yml
+++ b/group_vars/alpina/vars.yml
@ -16,6 +16,7 @@ authentik_sendgrid_api_key: "{{ vault_authentik_sendgrid_api_key }}"
 auth_grafana_client_secret: "{{ vault_auth_grafana_client_secret }}"
 auth_gitea_client_secret: "{{ vault_auth_gitea_client_secret }}"
 auth_nextcloud_client_secret: "{{ vault_auth_nextcloud_client_secret }}"
+auth_minio_client_secret: "{{ vault_auth_minio_client_secret }}"
 arrstack_password: "{{ vault_arrstack_password }}"

 # Minio
--- a/group_vars/alpina/vault.yml
+++ b/group_vars/alpina/vault.yml
@ -1,105 +1,113 @@
 $ANSIBLE_VAULT;1.1;AES256
-38653531383530396363323730396534343535303634383664356639663630333762666230313765
-3466643833616230303437363430393635363931393635390a313233626236646362663630636562
-39626662396261653766383139303633653838393461613766643033373436333130383534393935
-3664353531333164300a613265643439653966353130363539353639623662393135393432393931
-35353665643635623235633233323933346436353139633962343631383434666530316561636164
-35356130306461343032643262346435613731383535343135646236383463313331376132353931
-35643634346364653361666365326230353330616565333331353338373862333038333834363565
-32326265316635653465643830353164376265666361383461383730353634383534313263316138
-35626565346561646135353762376661333136303763616438393435346165656436613630363866
-32616166623062643030616335356133366133653766353262633663353962616265383763326234
-33343565616161643433313934373465633334363965623230333938616631343630313132653132
-62363963356465663232353963343735383361396135346362313837386538343634636239633266
-65376138633032643464656563363234393032646666336662363963323435616532626439653737
-35643661666361386439656663313034636666636363373565633230356638656462393936623835
-61393264326634326631363731323061646631343733346531646337656135613666306531373735
-63636532373965363736366639323763396335316266643932353035343635373733323162363061
-39396564306565313561663138326166343931623539623362666137336536666366383135366364
-35373561663131316630643163663132373064313364646465643930343432336161386634376431
-32613663336637333434303236646334333566646337613661383862363339633833333532613062
-38376165366161373363333563656465363232643633353239336164653736316131326262353635
-32363931663930373166343263333136633439313630333564356262396431316566333166303861
-63346635626433373862646162303230613761623865336366643962653564336532623064383638
-35333939323935336533306666633936323338323734333136623063656366646164326539303165
-62633234376139323664666331396337376536383765386161383163646437383462653731653563
-66353037376165376137313436623562313730366430633930323264363466386530303065373865
-37323965663733396264346530643137626239343432396335353938316231666364373164653737
-33643034656334613635363836653439653966613062393531306235356363366338383365376162
-35373764613665333166303235343666643932303135303534323939356636613062346361323431
-38313238373032626632653161393435393861353532393431313062363638323862346564363265
-63393538626631323735363431313935323132643238643462303833646662633931626262333237
-62666466356162356338633430396363643263363964363466393034653362303338313464646463
-33353139616665646462646236333239326261393663613662666534313730323435646430366439
-39396631643435626137373630346331656631343361353862313533653739643737643666636163
-39623533316136366466343662316166396563666630633134623839386430303238663431323666
-36646331623334346664633361656335633764386437653035616435393866373538316366643835
-62633934313837393331376637613633623730363438613338313936646563303161303637356136
-38383330663361623333656235383363303263663436643137323732343138646231316633626532
-66653261616165346437383034613732373066333563656133303439303861343237396535333933
-62656632346264613962643230353564643635336264396537303130643230613435346361663865
-63383333636437623736326564633332343866323736353662313165316663346237393965663365
-37393831623231353266646561363337623039333234633233316331363538396133663261343430
-64656464646331616537313635353636636663316230623933363033346262653164363438666164
-33366639383765303464373636633661386337326330326339316263323835363166313233393337
-64663466346530323232643731346635376565643662656630346432383264323065643161336139
-34326661663236383064383732656432356361343961333333663337366261653132326166663639
-39303462653134643166666330393165653831336637383133623036333135666437323464643838
-64353338636161623763323261393563356533343961633338333339303461313036663530636131
-63663565613865633864353635386339633935303331316634303365653139383064353133323232
-62366662613931616664643665343332326333396230666430393637653965343233396265336433
-65643835663230626130643337353733353536396431656239376533303134663131623331666534
-66383061373238323238656366363639363039343937646532323265323131316531633363353937
-66643836613938366439663862343566643265376338323061383637346662316332303039313932
-66663032643063343539323537313932613933643336353538316331356433386634646131646637
-30646430313966663639363938316432333164313932643839656165373961623435356536323063
-32343933343338636465393030633433666562656531306162633033326365393361313032316661
-65373934383437636335623030663134643265333535356439346332616462666337386266386234
-30653033366565386561323135323465666463346137313239386536616431666266643664653862
-33653062653161306337646338613332363965653039393638656631303938616130373438646430
-64663334363031333264393134396336663835313632636665616233616163623639303266363434
-63633561366230353232313164663861656364356466313534626434373465626136613232336335
-32313834613561323462323637666135356432363430643664616431356163306266396432613738
-39633539323030353534653139386135633136623332363234313163353232313364396631333065
-38373336396566663633353239323264326331346434393065366666613733653562626139333032
-64313139636433616237343261333134373730373839306438343037363933613366623432613036
-39643062653537363031396331666336336530396430333634393936396266326430616632343163
-62653736363136386536303861643630663362336566303536306362386163373734333933636537
-32366135623836333439366131656461373962356666366135623530373534313939323036343834
-66663661343738373033633163316261666466336461383039386562636537356238643561653863
-38353735373833383766626336656432333363663935373631393739383535336661613465643336
-30366265636433373234653031393062353062333538396633326535363531366563623835363633
-62373732393734626666633965313734396635646561393061333632353832656333356466343934
-64303038383339653233353332613062306436313933336665343966653164363236663333313465
-63323037613934326133383763336530323330653966343038646130376564386530376264326232
-34373763386462333466616265653464346230396665333439303939333438383030643035303763
-61396565396536366133383335373736306139383332346537663737626538613031346235313132
-38663437303966373139663761363336366362303561613466356538303962316361653431323439
-61353237393432346235663836333439643630666438643033396333383765626163343966623638
-39316134383533393930323339663431643539356630383961666634323166653832393435623639
-34663231646435386261656266633266643437396561653662303866363365326339643561386563
-34376365376433653961353330363236616666366565376466666635356631623561633637643966
-32633234303663383061323261363062666535336534633836613861323764356634613961656636
-61643633666338353063363561343639636435393437383062323565306630326131613466316430
-38303963353931393437616233333666336639613163383964616361326365666561343762666136
-65633238623932316234366464383932373166343435633463306437316234646533336634666238
-66313735356137326266353966656631336262373261376139336238656331396366646635343963
-38396333333666306636376139656331626664616437313638353933653930343331643561393638
-33376265323437643937333035333735623563383530353636303261306539666465346138326564
-63326237623366356561396463383431326266623430376239656362623266386662343662626663
-64663437376530343736356331343135633433643339333330383663323230303665653065626337
-64666430613239643635313435633661653434323538653764323834633935376134356264656335
-32613139316533303861373532343335663666356562633133636230613165396463613831363761
-38663964633739626539636532613232353366366231643233323663313566383936383664373564
-61653931333239376363323064663364663638393735333463323661653138396165376238396161
-34346637373038306166646266306634613938646233306662643865386131356537616161643439
-38376363363263626366653136656133373133383662613239313463373139333136306164646437
-38663333376331353265393031306438346162326264333637616462393664633763663265353462
-64623239663139653339376366383961333461636633613837343637393261303338316234363431
-39643939376130656334643339636439313664653463303832623131343637393634623337383538
-39366132663631313261363161333865323536633066313965613437326633303638333763353635
-30336236356239633332633637613865343637326235653662643531653661383332626534346436
-63633563383662616138373565623731383535636463353530383362333733333637333662346632
-31333738363661316635383463663163663066666439306533616331376234353236623532383836
-64633933626130633631373763373133623833643461663830353135333832613831356466653361
-30613163623936313466
+62376365353162306161343336623464386634383663663165393632366666633530373636633032
+6536633438613664316163613236663334663635363665630a666135396430306536646534616535
+65383432356339643063373232393861333366393038666134346363646130626130633861646536
+3134613738333465300a363031626561376533343730353361646462306434663564336538666565
+38643166326439356138653163323030626539393265613833303661313036336562373938323663
+39336533383636626464343461653836313734393430306238336561323038306238646236393835
+62643638636137646162616239636561666432376561393338336663366438346530346666396662
+63626432326263383561633532613039643862303135643262383636666161663539643465616566
+66303364333133393932643666656263613063373162373265353433616337636337363363353938
+31613638633462383031356433393765353439373434356366336234316361393862343763643333
+61623233633664396564376462336131353061303831316466306632663261666161323137333633
+39623938633861356136636532373139356339636334373137303034646431363438613936636438
+38363463386664643439313564313364613962346631343663633837326532613933336462636265
+32616161663065316661313335373234353161653732303965613731633665646532386139383732
+32363834636532363262646433616563363232643864653365643736353434346130383963393564
+34333861326633393763653639663666333061613161393864323165303638353962333531333661
+36316534303365626562643366393836356337303533313237613534313565643832373438373530
+32393065653538393762333232636235316439653935663437616236326162313464323037336630
+39323262333530363230353334356461343866346438626533633339386162336337623137393366
+32373361393231343134626237323062663634323939613461633866353561636334613234336532
+61306235363037306466656463653836396434313830333031366630373364343637376662346663
+65663132346239343937636261643238623364633062356163323364363466666661346364356239
+32653266303837663237333136316464626161626136336333363964636461616138323962313166
+64643930333964303639393439666432366435386464326561323165353333623765653132383636
+34326633663331376563613766383734613762653834356561616461303361373662653337623863
+37633135393861366137613137633265306137326536363632373962353233373735663065653534
+37333038363330633931353233623236313332336234393333616238353137656363643230633966
+32636336663762636130343933373834386465396536316439386465623130396266393438396262
+63636561623533366166393831383035373935643037326265636634646339336264383937366334
+37373961663330326131343531356238363632663861376362643561643966636364653235303032
+33363861396336666332356130353638373135376336373236383730373665623336373830643137
+35613234343966383264643834353162353533373939346561363438376339656239323364353036
+63623630643930363739326236653435613538393438326331383366666332383763356631356533
+39393363366261393231386239363161313939396431323630323062393962313933633462303439
+35623831356638333431313430343832616438343134613538343064323535613539663431643830
+32623363343733623837366236393136393864353332316538306463346337363264613763326463
+65366536326463303062663262636563306565323861666661376338633334383138626364333039
+34333734656331346334316465333339333535333632383963663633383361383661643235383866
+32326634643633366566306137383066653334323935363066316366313934373663383234316438
+35346139633239323431386536656464666161656434316238356333323665333661623364653865
+33636139333866356630323031323162323834303062363637313430313164326636383436383465
+35333434613632353265633935343164613266383463633631323763633565353039306134656431
+37616430633736326139366438613666346434646363313032366231616436616535393334613264
+34646132303061383034363139613362626235383938393535626339353438626635396561346166
+36666530613634336666653638353734323336366639626465346135323838343565383335313233
+62356631666135666434363061666234396337323838303866343839383164643939323862616632
+34646433333031653939313434613435623036346631643265643663613537323061343733326534
+64626663306338623533333132613333386562306162343438653266356666663535623036616666
+64613866663261386233343236353931353766323833623631373438353664393137613032366461
+63623164353435336564613739353863383037326465363462376536663934626362393132313465
+66353965643763656564366630353131313465656265613434363538343331313666613564313036
+35396436633233623261323432666237303335333339393363636362376536343837346264383935
+30346163353338336661646536643536623262343762303766393438343666623063326463346566
+34663538656133353639333830316562376137643666323832363666623766366131303830626531
+62313832316533663261353365343733636236643333396561333636303065653732646665386136
+31386535663732386165623037373763333731343461393431306339393634346130646462646661
+61646539613964666437623631643333333435353039633531313364366338316365396131346331
+30363963633236653364643061316237326362653462656563656165346134656338383738613932
+65333432393534643331396563643865656435373563613939616234636533383731336561623037
+61373839343132376465343332343165316361383831333538313531333063633632643832633536
+33313464643239323963346338386566313031306233336562616638353365666237346262666134
+33646134393531346637376133393039326638316334626333363162313239393239663865323730
+30343731363031303565643833313135643036666461366666376132663433343662333730373137
+65636236313561613637343262653833666135653832363466613138363332393061653032333933
+66376263663830333937336566333461333431393336333161623233353332396437396664316137
+64363737323036366635613938346261383634353237346337613933303334623434623439616533
+32353465336237396133643039613730646661643039363836333733353033343236373864626634
+37666562653233336464633337353963363361646334373863653032353137363738613561613135
+66356132393630613031316466663837633633383033633064326565303837633062336531373866
+34666537303033323362363163353666383962333536303135363666653930326166323637636266
+34306537343238353833313635306663643737653531313435383064383133366364646331306261
+66363763353534643833316533383364353632343439393032313437633734323031383438633333
+31616362343332373333626135396435366235313465346639326564353265643133313339376639
+63333233653833653333373162633033623035633832333566653536343832373035636664643839
+38393864666430313162366337653836333135333738653763653261343233663666373865383366
+65343038646166343934376633613337306436336130626363396339313236653731653265383661
+34633332343639333533316631643763363664666563353137383639616132313363383137383132
+33343635386139366230363464363731383166393430396533613438366661353439353537346530
+62366461653534333834386637363364346432333964306639376339313531383431323930333530
+37383665373937303732643636383539393039663363623337663938303139663039366536323031
+66613036326263316239646535656163626232626130336465303166336336316435343262373631
+39613536336366366435326230653339356635636432303862306636613935306432323966313234
+65623938316162393931343337326334666235666362313739343564633339653962313062393431
+35373338306332326133333638636137386337343261386663333261333030343635336532373134
+38626136383936393339613534386539663035316335656566656639613837313239626431386362
+62643733326636323635373363333964643132323562633430626666616531656639383231336432
+61653439376663613161396465343638623639653135363863336363343230636336346434326234
+32343962666337646435653035333431333632363239616535333835393761353366386561356366
+37356530333763346137653566643134376136656638386334343038376439643037623338643333
+66626537633931333465383062303766333436346433636434653139333966613865656234346539
+36376239393632653536306363313633636464343366373862343039306235303766623462633932
+32313537306530343032663365626330363838396566356534343766383865653231613538323461
+37303439393733376539613061663937633665663963613236323764653835656563346565636531
+30363239376139343166346664306234363031623031663266643966636265666163353536346132
+65623638323065633361373330386334636332306634636336613365663133373835666135396230
+38373939366534663336376135646237633232646261383964383735353533303862623064313333
+33633533653537376138623635663465336131383838663237653933623634343761623731366335
+64653233366335656365656336303862656663303138643531356661373831633062633734363661
+39306633323337356366383863643034656135393432386638353761323337373631353436383664
+34623631306663636439376464383831323566666266613536613661633266343732646264306162
+36353030343538316330313831626232353165323038363034666161336338316536353832353966
+35336365393563643733363535393763613865663436616130343066303638353431653039356661
+34393936363764393032646133326432656230353232623339646165663932366130363734663762
+34303433376666383639663661356334653939663739643139363237623031666632623239343562
+30656438623236616637643132613666343133393436346635316638633664316363323832393862
+39643831363633643562323664613666393033656132333964643639333230353763383330343835
+64383530373332343838666536303363313033303931646232343037303863343835366139326135
+34336330343365663837396134653566633536643832373433393035366531323035616462363639
+66336133346139336264346636643735383136343336303133313031653230366166396239303335
+64656535326465363563396532376538336434643964336264303061393139656139376635633730
+62326664613766393435383464363538393937313236363630656337356264633134353464393835
+32653133383732656235
--- a/roles/alpina/templates/services/authentik/blueprints/apps-oauth2.yaml.j2
+++ b/roles/alpina/templates/services/authentik/blueprints/apps-oauth2.yaml.j2
@ -12,6 +12,13 @@ entries:
      "ui_group": "Services",
      "allowed_for_groups": ["admins"],
    },
+    "Minio": {
+      "redirect_uri": "https://minio."~ domain ~"/oauth_callback",
+      "icon": "https://minio."~ domain ~"/logo192.png",
+      "client_secret": auth_minio_client_secret,
+      "ui_group": "Services",
+      "allowed_for_groups": ["admins"],
+    },
    "Gitea": {
      "redirect_uri": "https://gitea."~ domain ~"/user/oauth2/Authentik/callback",
      "icon": "https://gitea."~ domain ~"/assets/img/logo.svg",
@ -42,9 +49,15 @@ entries:
        - !Find [authentik_providers_oauth2.scopemapping, [scope_name, openid]]
        - !Find [authentik_providers_oauth2.scopemapping, [scope_name, email]]
        - !Find [authentik_providers_oauth2.scopemapping, [scope_name, profile]]
+        {% if app == "Minio" -%}
+        - !Find [authentik_providers_oauth2.scopemapping, [scope_name, minio]]
+        {%- endif %}
+
      redirect_uris:
        - matching_mode: strict
          url: {{ apps[app]["redirect_uri"] }}
+      # Necessary for JWKS to be generated correctly
+      signing_key: !Find [authentik_crypto.certificatekeypair, [name, "authentik Self-signed Certificate"]]

  - identifiers:
      slug: {{ app | lower }}
--- a/roles/alpina/templates/services/authentik/blueprints/default-groups.yaml.j2
+++ b/roles/alpina/templates/services/authentik/blueprints/default-groups.yaml.j2
@ -8,6 +8,8 @@ entries:
      name: "admins"
    model: authentik_core.group
    id: "admins"
+    attrs:
+      is_superuser: true

  - identifiers:
      name: "users"
@ -21,3 +23,18 @@ entries:
    attrs:
      arrstack_username: "arr"
      arrstack_password: "{{ arrstack_password }}"
+
+  - identifiers:
+      scope_name: "minio"
+    model: authentik_providers_oauth2.scopemapping
+    id: "scope-minio"
+    attrs:
+      name: "Minio Policy"
+      expression: |
+        policy = "default"
+        if ak_is_group_member(request.user, name="admins"):
+            policy = "consoleAdmin"
+
+        return {
+          "policy": policy,
+        }
--- a/roles/alpina/templates/services/minio/.env.minio.j2
+++ b/roles/alpina/templates/services/minio/.env.minio.j2
@ -5,11 +5,16 @@ MINIO_DOMAIN=s3.{{ domain }}
 MINIO_SERVER_URL=https://s3.{{ domain }}
 MINIO_BROWSER_REDIRECT_URL=https://minio.{{ domain }}

-#MINIO_IDENTITY_OPENID_CONFIG_URL=https://auth.{{ domain }}/application/o/minio/.well-known/openid-configuration
-#MINIO_IDENTITY_OPENID_CLIENT_ID=
-#MINIO_IDENTITY_OPENID_CLIENT_SECRET=
-#MINIO_IDENTITY_OPENID_CLAIM_NAME=
-#MINIO_IDENTITY_OPENID_CLAIM_PREFIX=
-#MINIO_IDENTITY_OPENID_SCOPES=
-#MINIO_IDENTITY_OPENID_REDIRECT_URI=
+# https://min.io/docs/minio/linux/reference/minio-server/settings/iam/openid.html
+MINIO_IDENTITY_OPENID_CONFIG_URL=https://auth.{{ domain }}/application/o/minio/.well-known/openid-configuration
+MINIO_IDENTITY_OPENID_CLIENT_ID=minio
+MINIO_IDENTITY_OPENID_CLIENT_SECRET={{ auth_minio_client_secret }}
+# defaults to "policy"
+#MINIO_IDENTITY_OPENID_CLAIM_NAME=policy
+MINIO_IDENTITY_OPENID_DISPLAY_NAME=Authentik
+# no need to specify scopes,
+# as it defaults to the ones advertised at the discovery url
+#MINIO_IDENTITY_OPENID_SCOPES=openid,profile,email,minio
+#MINIO_IDENTITY_OPENID_REDIRECT_URI_DYNAMIC=off
+#MINIO_IDENTITY_OPENID_CLAIM_USERINFO=on
 #MINIO_IDENTITY_OPENID_COMMENT=