Les clusters Anthos on Bare Metal sont compatibles avec OpenID Connect (OIDC) et le protocole LDAP (Lightweight Directory Access Protocol), qui permettent d'interagir avec le serveur d'API Kubernetes d'un cluster à l'aide d'Anthos Identity Service. Anthos Identity Service est un service d'authentification qui vous permet d'exploiter vos solutions existantes pour l'authentification dans plusieurs environnements Anthos. Les utilisateurs peuvent se connecter à vos clusters Anthos depuis la ligne de commande (tous les fournisseurs) ou depuis la console Cloud Console (OIDC uniquement), en se servant tous de votre fournisseur d'identité existant.
Anthos Identity Service fonctionne avec n'importe quel type de cluster Bare Metal : administrateur, utilisateur, hybride ou autonome. Vous pouvez utiliser des fournisseurs d'identité sur site et des fournisseurs d'identité accessibles publiquement. Si par exemple votre entreprise exécute un serveur ADFS (Active Directory Federation Services), celui-ci peut servir de fournisseur OpenID. Vous pouvez également utiliser des services de fournisseurs d'identité accessibles publiquement, tels que Okta. Les certificats du fournisseur d'identité peuvent être émis par une autorité de certification publique bien connue ou par une autorité de certification privée.
Pour une présentation du service Anthos Identity Service, consultez la page Présentation d'Anthos Identity Service.
Si vous utilisez ou souhaitez utiliser des ID Google pour vous connecter à vos clusters Anthos, plutôt que de passer par un fournisseur OIDC ou LDAP, nous vous recommandons d'utiliser la passerelle Connect pour l'authentification. Pour en savoir plus, consultez la page Se connecter à des clusters enregistrés avec la passerelle Connect.
Avant de commencer
Notez que les systèmes sans interface graphique ne sont pas compatibles. Un processus d'authentification basé sur navigateur est utilisé pour inviter les utilisateurs à donner leur autorisation et autoriser leur compte utilisateur.
Pour vous authentifier via Google Cloud Console, chaque cluster que vous souhaitez configurer doit être enregistré auprès de votre parc de projets.
Processus de configuration et options associées
OIDC
Enregistrez Anthos Identity Service en tant que client auprès de votre fournisseur OIDC en suivant les instructions de la section Configurer des fournisseurs pour Anthos Identity Service.
Choisissez l'une des options de configuration de cluster suivantes :
- Configurez vos clusters au niveau du parc en suivant les instructions de la section Configurer des clusters pour Anthos Identity Service au niveau du parc (Bêta, clusters Anthos on Bare Metal version 1.8 et ultérieure). Avec cette option, votre configuration d'authentification est gérée de manière centralisée par Google Gloud.
- Configurez les clusters individuellement en suivant les instructions de la page Configurer des clusters pour Anthos Identity Service avec OIDC. La configuration au niveau du parc étant une fonctionnalité Bêta, vous pouvez utiliser cette option dans les environnements de production, si vous utilisez une version antérieure d'Anthos Clusters on Bare Metal, ou si vous avez besoin de fonctionnalités d'Anthos Identity Service qui ne sont pas encore compatibles avec la gestion du cycle de vie au niveau du parc.
Configurez l'accès utilisateur à vos clusters, y compris le contrôle des accès basé sur les rôles (RBAC), en suivant les instructions de la page Configurer l'accès des utilisateurs pour Anthos Identity Service.
LDAP
- Suivez les instructions de la page Configurer Anthos Identity Service avec LDAP.
Accéder aux clusters
Après avoir configuré Anthos Identity Service, les utilisateurs peuvent se connecter à des clusters configurés à l'aide de la ligne de commande ou de la console Cloud Console.
- Pour découvrir comment vous connecter aux clusters enregistrés avec votre ID OIDC ou LDAP, consultez la page Accéder aux clusters à l'aide d'Anthos Identity Service.
- Pour découvrir comment vous connecter à des clusters depuis la console Cloud Console, consultez la page Se connecter à un cluster depuis Cloud Console (OIDC uniquement).