GKE Identity Service es un servicio de autenticación que se integra con tus soluciones de identidad, lo que te permite usarlas en varios entornos de GKE. Los usuarios pueden acceder a tus clústeres de GKE y gestionarlos desde la línea de comandos o desde la Google Cloud consola, todo ello con tu proveedor de identidades.
Si prefieres usar los IDs de Google para iniciar sesión en tus clústeres de GKE en lugar de un proveedor de identidades, consulta Conectarse a clústeres registrados con la pasarela Connect.
Proveedores de identidades admitidos
Identity Service para GKE admite los siguientes protocolos de proveedor de identidades para verificar y autenticar a los usuarios cuando intentan acceder a recursos o servicios:
- OpenID Connect (OIDC): OIDC es un protocolo de autenticación moderno y ligero basado en el marco de autorización OAuth 2.0. Ofrecemos instrucciones específicas para configurar algunos proveedores populares de OpenID Connect, como Microsoft, pero puedes usar cualquier proveedor que implemente OIDC.
- Lenguaje de marcado para confirmaciones de seguridad (SAML): SAML es un estándar basado en XML para intercambiar datos de autenticación y autorización entre partes, principalmente entre un proveedor de identidades (IdP) y un proveedor de servicios. Puedes usar el servicio de identidades de GKE para autenticarte mediante SAML.
- Protocolo ligero de acceso a directorios (LDAP): LDAP es un protocolo estandarizado y consolidado para acceder a servicios de información de directorios y gestionarlos. Se suele usar para almacenar y recuperar información de los usuarios, como nombres de usuario, contraseñas y pertenencia a grupos. Puedes usar GKE Identity Service para autenticarte mediante LDAP con Active Directory o un servidor LDAP.
Tipos de clúster admitidos
| Protocolo | GDC (VMware) | GDC (Bare Metal) | GKE en AWS | GKE en Azure | Clústeres de EKS vinculados | GKE en Google Cloud |
|---|---|---|---|---|---|---|
| OIDC | ||||||
| LDAP | ||||||
| SAML |
No se admite el uso de otros tipos de clústeres adjuntos con GKE Identity Service.
Proceso de configuración
Para configurar el servicio de identidad de GKE en tus clústeres, debes seguir estos pasos y contar con los siguientes usuarios:
- Configurar proveedores: El administrador de la plataforma registra GKE Identity Service como una aplicación cliente con su proveedor de identidades preferido y obtiene un ID de cliente y un secreto.
- Configura clústeres individuales o configura tu flota: el administrador del clúster configura los clústeres para tu servicio de identidad. Puedes configurar GKE Identity Service en cada clúster de GKE on-premise (tanto VMware como bare metal), en AWS y en Azure. También puedes configurar GKE Identity Service para una flota, que es un grupo lógico de clústeres que te permite habilitar funciones y actualizar la configuración en estos clústeres.
- Configurar el acceso de los usuarios: El administrador del clúster configura el acceso de inicio de sesión de los usuarios para autenticarse en los clústeres mediante el acceso FQDN (recomendado) o el acceso basado en archivos y, de forma opcional, configura el control de acceso basado en roles (RBAC) de Kubernetes para los usuarios de estos clústeres.