Clusters Anthos sur AWS (GKE sur AWS) est compatible avec les méthodes d'authentification suivantes :
- Associer
- OpenID Connect (OIDC) Pour plus d'informations, consultez la section S'authentifier avec OIDC.
Associer
Pour vous connecter à l'aide de Google Cloud Console avec Connect, les clusters Anthos sur AWS peuvent utiliser le jeton de support d'un compte de service Kubernetes. Pour en savoir plus, consultez la section Se connecter à un cluster depuis Cloud Console.
Serveur d'API Kubernetes et jeton d'ID
Après vous être authentifié auprès du cluster, vous pouvez interagir avec la CLI kubectl
du SDK Cloud. Lorsque kubectl
appelle le serveur d'API Kubernetes pour le compte de l'utilisateur, le serveur d'API vérifie le jeton à l'aide du certificat public du fournisseur OpenID. Le serveur d'API analyse ensuite le jeton pour connaître l'identité et les groupes de sécurité de l'utilisateur.
Le serveur d'API détermine si l'utilisateur est autorisé à effectuer cet appel en comparant les groupes de sécurité de l'utilisateur à la règle de contrôle des accès basé sur les rôles (RBAC, role-based access control) du cluster.
OIDC
Dans cette section, nous partons du principe que vous maîtrisez OAuth 2.0 et OpenID Connect. Vous devez également connaître les niveaux d'accès et les revendications dans le contexte de l'authentification OpenID.
Présentation
OIDC vous permet de gérer l'accès à un cluster Kubernetes en utilisant les procédures standards de votre organisation pour créer, activer et désactiver des comptes d'employés. Vous pouvez également utiliser les groupes de sécurité de votre organisation pour configurer l'accès à un cluster Kubernetes ou à des services spécifiques du cluster.
Voici un flux de connexion classique OIDC :
Un utilisateur se connecte à un fournisseur OpenID en présentant un nom d'utilisateur et un mot de passe.
Le fournisseur OpenID signe et envoie un jeton d'identification pour l'utilisateur.
L'outil
gcloud
envoie une requête HTTPS au serveur d'API Kubernetes. L'application inclut le jeton d'ID de l'utilisateur dans l'en-tête de la requête.Le serveur d'API Kubernetes vérifie le jeton à l'aide du certificat du fournisseur.
Si votre entreprise exécute un serveur ADFS (Active Directory Federation Services), celui-ci peut servir de fournisseur OpenID. Une autre option consiste à utiliser un tiers en tant que fournisseur OpenID. Par exemple, Google, Microsoft, Facebook et Twitter sont tous des fournisseurs OpenID.
Se connecter avec l'outil gcloud
Exécutez la commande gcloud anthos auth login
pour vous authentifier auprès de vos clusters. L'outil gcloud
authentifie votre requête auprès du serveur d'API Kubernetes.
Pour utiliser l'outil gcloud
, vos jetons d'identification OIDC doivent être stockés dans le fichier kubeconfig
.
Ajoutez des jetons à votre fichier kubeconfig
avec gcloud anthos create-login-config
.
Les clusters Anthos sur AWS utilisent l'outil gcloud
pour demander et
obtenir le jeton d'ID et d'autres valeurs OIDC dans le fichier kubeconfig
.