O Google Distributed Cloud oferece suporte ao OpenID Connect (OIDC) e ao Protocolo leve de acesso a diretórios (LDAP) como mecanismos de autenticação para interagir com o servidor da API Kubernetes de um cluster, usando o GKE Identity Service. O GKE Identity Service é um serviço de autenticação que permite levar suas soluções de identidade atuais para autenticação em vários ambientes do GKE Enterprise. Os usuários podem fazer login e usar os clusters do GKE na linha de comando (todos os provedores) ou no Console do Google Cloud (somente OIDC), usando seu provedor de identidade atual.
O serviço de identidade do GKE funciona com qualquer tipo de cluster bare metal: administrador, usuário, híbrido ou independente. É possível usar provedores de identidade locais e acessíveis publicamente. Por exemplo, se sua empresa executa um servidor de Serviços de federação do Active Directory (ADFS, na sigla em inglês), o servidor ADFS pode servir como seu provedor de OpenID. Você também pode usar serviços de provedor de identidade acessíveis publicamente, como o Okta. Os certificados de provedor de identidade podem ser emitidos por uma autoridade de certificação pública (AC) conhecida ou por uma AC particular.
Para uma visão geral de como o GKE Identity Service funciona, consulte Introdução ao GKE Identity Service.
Se você já usa ou quer usar os IDs do Google para fazer login nos clusters do GKE em vez de um provedor OIDC ou LDAP, recomendamos o uso do gateway do Connect para autenticação. Saiba mais em Como se conectar a clusters registrados com o gateway do Connect.
Antes de começar
Os sistemas headless não são compatíveis. Um fluxo de autenticação baseado em navegador é usado para solicitar o consentimento dos usuários e autorizar a conta de usuário.
Para autenticar pelo console do Google Cloud, cada cluster que você quer configurar precisa ser registrado na frota do projeto.
Processo de configuração e opções
O GKE Identity Service é compatível com provedores de identidade usando os seguintes protocolos:
OpenID Connect (OIDC). Fornecemos instruções específicas para a configuração de alguns provedores OpenID conhecidos, incluindo a Microsoft, mas você pode usar qualquer provedor que implemente o OIDC.
Protocolo leve de acesso a diretórios (LDAP). É possível usar o GKE Identity Service para fazer a autenticação usando LDAP com o Active Directory ou um servidor LDAP.
OIDC
Registre o GKE Identity Service como um cliente com o provedor OIDC seguindo as instruções em Como configurar provedores para o GKE Identity Service.
Escolha uma destas opções de configuração de cluster:
Configure os clusters no nível da frota seguindo as instruções em Como configurar clusters para o GKE Identity Service no nível da frota (pré-lançamento, Google Distributed Cloud versão 1.8 e mais recentes). Com essa opção, a configuração de autenticação é gerenciada centralmente pelo Google Cloud.
Configure os clusters individualmente seguindo as instruções em Como configurar clusters para o GKE Identity Service com o OIDC. Como a configuração no nível da frota é um recurso de pré-lançamento, use esta opção em ambientes de produção, se você estiver usando uma versão anterior do Google Distributed Cloud ou se precisar de recursos do GKE Identity Service que ainda não são compatíveis com o gerenciamento do ciclo de vida no nível da frota.
Para configurar o acesso do usuário aos clusters, incluindo o controle de acesso baseado em papéis (RBAC, na sigla em inglês), siga as instruções em Como configurar o acesso do usuário para o GKE Identity Service.
LDAP
- Siga as instruções em Configurar o GKE Identity Service com o LDAP.
Acessar clusters
Depois de configurar o GKE Identity Service, os usuários podem fazer login nos clusters configurados usando a linha de comando ou o console do Google Cloud.
Saiba como fazer login em clusters registrados com o ID do OIDC ou LDAP em Como acessar clusters usando o GKE Identity Service.
Saiba como fazer login em clusters no console do Google Cloud em Trabalhar com clusters no console do Google Cloud (somente OIDC).