Os clusters do Anthos em bare metal são compatíveis com OpenID Connect (OIDC) e Lightweight Directory Access Protocol (LDAP) como mecanismos de autenticação para interagir com o servidor da API Kubernetes de um cluster. , usando o Anthos Identity Service. O Anthos Identity Service é um serviço de autenticação que permite trazer as soluções de identidade existentes para autenticação em vários ambientes do Anthos. Os usuários podem fazer login e usar os clusters do Anthos pela linha de comando (todos os provedores) ou pelo Console do Google Cloud (somente OIDC), usando seu provedor de identidade atual.
O Anthos Identity Service funciona com qualquer tipo de cluster bare metal: administrador, usuário, híbrido ou independente. Você pode usar provedores de identidade locais e acessíveis publicamente. Por exemplo, se sua empresa executa um servidor de Serviços de federação do Active Directory (ADFS, na sigla em inglês). O servidor ADFS pode servir como seu provedor de OpenID. Você também pode usar serviços de provedor de identidade acessíveis publicamente, como o Okta. Os certificados de provedor de identidade podem ser emitidos por uma autoridade de certificação pública (CA, na sigla em inglês) conhecida ou por uma CA particular.
Para uma visão geral de como o Anthos Identity Service funciona, consulte Introdução ao Anthos Identity Service.
Se você já usa ou quer usar os IDs do Google para fazer login nos clusters do Anthos em vez de um provedor OIDC ou LDAP, recomendamos o uso do gateway do Connect para autenticação. Saiba mais em Como se conectar a clusters registrados com o gateway do Connect.
Antes de começar
Os sistemas headless não são compatíveis. Um fluxo de autenticação baseado em navegador é usado para solicitar o consentimento dos usuários e autorizar a conta de usuário.
Para autenticar por meio do console do Google Cloud, cada cluster que você quer configurar precisa ser registrado com a frota do projeto.
Processo de configuração e opções
OIDC
Registre o Anthos Identity Service como um cliente com o provedor OIDC seguindo as instruções em Como configurar provedores para o Anthos Identity Service.
Escolha uma destas opções de configuração de cluster:
- Configure seus clusters no nível da frota seguindo as instruções em Como configurar clusters para o Anthos Identity no nível da frota (visualizar, clusters do Anthos na versão 1.8 e superior do Bare Metal). Com essa opção, sua configuração de autenticação é gerenciada centralmente pelo Google Cloud.
- Configure seus clusters individualmente seguindo as instruções em Como configurar clusters para o Anthos Identity Service com o OIDC. Como a configuração no nível da frota é um recurso de visualização, use esta opção em ambientes de produção, se você estiver usando uma versão anterior do clusters do Anthos em bare metal ou se precisar de recursos do Anthos Identity Service que ainda não são compatíveis com Gerenciamento do ciclo de vida no nível da frota.
Configure o acesso do usuário aos seus clusters, incluindo o controle de acesso baseado em papéis (RBAC), siga as instruções em Como configurar o acesso do usuário para o Anthos Identity Service.
LDAP
- Siga as instruções em Configurar o Anthos Identity Service com o LDAP.
Acessar clusters
Após a configuração do Anthos Identity Service, os usuários podem fazer login nos clusters configurados usando a linha de comando ou o Console do Google Cloud.
- Saiba como fazer login em clusters registrados com o OIDC ou ID LDAP em Como acessar clusters usando o Anthos Identity Service.
- Saiba como fazer login em clusters no console do Google Cloud em Como fazer login em um cluster no Console do Google Cloud (somente OIDC).