OIDC と AD FS による認証

このページでは、Active Directory フェデレーション サービス（AD FS）で OpenID Connect（OIDC）を使用して、GKE On-Prem ユーザー クラスタの認証を構成する方法を説明します。

認証フローの概要については、認証をご覧ください。AD FS 以外の OpenID プロバイダの使用方法については、OpenID Connect による認証をご覧ください。

概要

GKE On-Prem は、ユーザー クラスタの Kubernetes API サーバーとやり取りする認証メカニズムの 1 つとして OpenID Connect（OIDC）をサポートしています。OIDC を使用すると、組織内の標準的な手順に従って Kubernetes クラスタへのアクセスを管理して、従業員のアカウントの作成、有効化、無効化を行うことが可能です。

従業員が OIDC 認証フローを使用するには、次の 2 つの方法があります。

• 従業員は、kubectl を使用して、OIDC フローを開始できます。このフローを自動化するためには、GKE On-Prem で、kubectl プラグインである OIDC 用の Kubectl プラグインを指定します。

• 従業員は、Google Cloud Console を使用して、OIDC 認証フローを開始できます。

この演習では、kubectl と Google Cloud コンソールの両方のオプションを構成します。一連の AD FS 管理ウィザードを使用して、AD FS サーバーと AD 従業員データベースを構成します。

始める前に

このトピックでは、OAuth 2.0 と OpenID Connect について理解していることを前提にしています。このトピックでは、OpenID のスコープとクレームについて理解していることを前提としています。

このトピックは、次のインフラストラクチャを所有する企業に適用されます。

• 企業が従業員データベースとして Active Directory（AD）を使用している。
• 企業が Active Directory フェデレーション サービス（AD FS）サーバーを運用している。
• AD FS サーバーが OpenID プロバイダとして使用されている。

OIDC 用の Kubectl プラグインのダウンロード

このセクションは OIDC 用 Kubectl プラグインを使用する管理者と従業員を対象としています。

プラグインをダウンロードしてアクセス権限を設定します。

gsutil cp gs://gke-on-prem-release/oidc-plugin/v1.1alpha/linux_amd64/kubectl-oidc .
chmod +x kubectl-oidc

gsutil cp gs://gke-on-prem-release/oidc-plugin/v1.1alpha/windows_amd64/kubectl-oidc .

gsutil cp gs://gke-on-prem-release/oidc-plugin/v1.1alpha/darwin_amd64/kubectl-oidc .
chmod +x kubectl-oidc

プラグインのインストール

プラグインをインストールして、実行可能ファイルを PATH の任意の場所に移動します。実行可能ファイルの名前は kubectl-oidc とする必要があります。詳細は、kubectl プラグインのインストールをご覧ください。

OIDC 用 Kubectl プラグインのリダイレクト URL の作成

このセクションは管理者向けです。

AD FS サーバーとの関係を確立する際に、AD FS サーバーが OIDC 用 Kubectl プラグインに ID トークンを返すために使用できるリダイレクト URL を指定する必要があります。OIDC 用の Kubectl プラグインは、各従業員のローカルマシンで実行され、任意のポートでリッスンします。この目的に適した 1024 より大きいポート番号を選択します。リダイレクト URL は次のようになります。

http://localhost:[PORT]/callback

ここで、[PORT] はポート番号です。

AD FS サーバーを構成するときは、リダイレクト URL の 1 つとして http://localhost:[PORT]/callback を指定します。

Google Cloud コンソール用のリダイレクト URL の構成

このセクションは管理者向けです。

OIDC 用 Kubectl プラグインのリダイレクト URL に加えて、Google Cloud コンソール用のリダイレクト URL も必要です。Google Cloud コンソールのリダイレクト URL は次のとおりです。

https://console.cloud.google.com/kubernetes/oidc

AD FS サーバーを構成するときは、リダイレクト URL の 1 つとして https://console.cloud.google.com/kubernetes/oidc を指定します。

AD FS の構成

次のセクションでは、GKE On-Prem 用に AD FS を構成する方法について説明します。

リダイレクト URL の設定

1. AD FS 管理ペインを開きます。

2. [Application Groups] > [Actions] > [Add an Application Group] の順に選択します。

3. [Server Application] を選択します。名前と説明を入力します。[Next] をクリックします。

4. リダイレクト URL を 2 つ入力します。クライアント ID が付与されます。これは、AD FS サーバーが OIDC と Google Cloud コンソール用の Kubectl プラグインを識別する手段になります。後で使用するために、クライアント ID を保存します。

5. [Generate a shared secret] を選択します。OIDC と Google Cloud コンソール用の Kubectl プラグインは、この Secret を使用して AD FS サーバーの認証を行います。後で使用するために Secret を保存します。

セキュリティ グループの構成（省略可）

1. AD FS Management で、[Relying party trusts] > [Add a new relying party trust] の順に選択します。

2. [Claims aware] を選択し、[Start] をクリックします。

3. [Enter data about relying party manually] を選択します。

4. 表示名を入力します。

5. 次の 2 つの手順はスキップします。

6. [Relying party trust identifier] を入力します。例: token-groups-claim。

7. Access control policy には、[Permit everyone] を選択します。これは、すべての従業員が OIDC と Google Cloud コンソール用の Kubectl プラグインと、セキュリティ グループ情報を共有することを意味します。

8. [完了] をクリックします。

LDAP 属性のクレーム名へのマッピング

1. AD FS Management で、[Relying party trusts] > [Edit claim issuance policy] の順に選択します。

2. [Send LDAP Attributes as Claims] をオンにしてから [Next] をクリックします。

3. [Claim rule name] に「groups」と入力します。

4. [Attribute store] で [Active Directory] を選択します。

5. テーブルの [LDAP Attribute] で、以下を選択します。

   • AD FS バージョン 5.0 以降: Token-Groups Qualified by Domain name
   • バージョン 5.0 より前の AD FS: Token Groups - Qualified Names

6. [Outgoing Claim Type] には、以下を選択します。

   • AD FS バージョン 5.0 以降: Group
   • バージョン 5.0 より前の AD FS: groups

7. [Finish] をクリックし、[Apply] をクリックします。

AD FS を利用した OIDC と Google Cloud コンソール用の Kubectl プラグインの登録

管理者モードで PowerShell ウィンドウを開き、次のコマンドを入力します。

Grant-AD FSApplicationPermission `
    -ClientRoleIdentifier "[CLIENT_ID]" `
    -ServerRoleIdentifier [SERVER_ROLE_IDENTIFIER] `
    -ScopeName "allatclaims", "openid"

ここで

• [CLIENT_ID] は、前の手順で取得したクライアント ID です。

• [SERVER_ROLE_IDENTIFIER] は、前に入力したクレーム ID です。提案された ID は token-groups-claim でした。

クラスタ構成ファイルへの oidc 仕様の入力

このセクションは、OIDC 使用を前提に構成されたクラスタを作成する従業員を対象としています。

ユーザー クラスタを作成する前に、gkectl create-config を使用して GKE On-Prem 構成ファイルを生成します。構成には次の oidc 仕様が含まれます。プロバイダに固有の値で、oidc を入力します。

oidc:
  issuerurl:
  clientid:
  clientsecret:
  username:
  usernameprefix:
  group:
  groupprefix:
  scopes:
  extraparams:
  usehttpproxy:
  capath:

• issuerurl: 必須。OpenID プロバイダの URL（例: https://example.com/adfs）。OIDC と Google Cloud コンソール用の Kubectl プラグインを例とするクライアント アプリケーションは、この URL に認可リクエストを送信します。Kubernetes API サーバーは、この URL を使用してトークン検証用の公開鍵を検出します。HTTPS を使用する必要があります。
• clientid: 必須。OpenID プロバイダへの認証リクエストを行うクライアント アプリケーションの ID。OIDC 用と Google Cloud コンソール用の両方の Kubectl プラグインでこの ID が使用されます。
• clientsecret: 省略可。クライアント アプリケーション用の Secret。OIDC 用と Google Cloud コンソール用の両方の Kubectl プラグインでこの Secret が使用されます。
• username: 省略可。ユーザー名として使用する JWT クレーム。デフォルトは sub で、これはエンドユーザーの一意の識別子である必要があります。OpenID プロバイダによっては、email や name などの他のクレームを選択できます。ただし、他のプラグインとの競合を避けるため、email 以外のクレームには発行者の URL が先頭に付加されます。
• usernameprefix: 省略可。既存の名前と競合しないように、ユーザー名のクレームの先頭に付加される接頭辞。このフィールドを指定せず、username が email 以外の値の場合、接頭辞はデフォルトの issuerurl# になります。値 - を使用すると、すべての接頭辞を無効にできます。
• group: 省略可。プロバイダがセキュリティ グループを返すために使用する JWT クレーム。
• groupprefix: 省略可。既存の名前と競合しないように、グループ クレームの先頭に付加される接頭辞。たとえば、グループ foobar と接頭辞 gid- が指定されている場合、gid-foobar となります。
• scopes: 省略可。OpenID プロバイダにカンマ区切りのリストとして送信する追加のスコープ。
• extraparams: 省略可。OpenID プロバイダにカンマ区切りのリストとして送信する追加の Key-Value パラメータ。
  • 認証パラメータのリストについては、認証 URI パラメータをご覧ください。
  • Microsoft Azure の認証パラメータの一覧については、ログイン リクエストを送信するをご覧ください。
  • グループを承認する場合は、resource=token-groups-claim を渡します。
  • 認可サーバーが同意を求めるプロンプトを表示する場合は、prompt=consent を渡します。
• usehttpproxy: 省略可。ユーザー認証用の Connect Agent がオンプレミスの OIDC プロバイダにアクセスできるようにするため、クラスタにリバース プロキシをデプロイするかどうかを指定します。値は文字列（"true" または "false"）で指定する必要があります。
• capath: 省略可。ID プロバイダのウェブ証明書を発行した認証局（CA）の証明書へのパス。この値は必須ではない場合があります。たとえば、ID プロバイダの証明書がよく知られている公開 CA によって発行された場合は、ここに値を指定する必要はありません。

例: ユーザーとグループの承認

多くのプロバイダは、ユーザー識別プロパティ（メールやユーザー ID など）をトークンにエンコードします。ただし、これらのプロパティには認証ポリシーに関する潜在的なリスクがあります。

• ユーザー ID を使用すると、ポリシーの読み取りと監査が困難になることがあります。
• メールでは、可用性リスク（ユーザーがメインのメールを変更した場合）とセキュリティ リスク（メールを再割り当てできる場合）の両方が発生する可能性があります。

そのため、グループ ポリシーを使用することをおすすめします。グループ ID は永続的で監査が容易なためです。

プロバイダが、次のフィールドを含む ID トークンを作成したとします。

{
  'iss': 'https://server.example.com'
  'sub': 'u98523-4509823'
  'groupList: ['developers@example.corp', 'us-east1-cluster-admins@example.corp']
  ...
}

issueruri: 'https://server.example.com'
username: 'sub'
usernameprefix: 'uid-'
group: 'groupList'
groupprefix: 'gid-'
extraparams: 'resource=token-groups-claim'
...

ユーザー クラスタを作成すると、Kubernetes のロールベースのアクセス制御（RBAC）を使用して、認証済みユーザーに特権アクセスを付与できます。たとえば、クラスタの Secret への読み取り専用アクセス権を付与する ClusterRole を作成し、認証されたグループにロールをバインドする ClusterRoleBinding リソースを作成できます。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: secret-reader
rules:
- apiGroups: [""]
  # The resource type for which access is granted
  resources: ["secrets"]
  # The permissions granted by the ClusterRole
  verbs: ["get", "watch", "list"]

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: read-secrets-admins
subjects:
  # Allows anyone in the "us-east1-cluster-admins" group to
  # read Secrets in any namespace within this cluster.
- kind: Group
  name: gid-us-east1-cluster-admins # Name is case sensitive
  apiGroup: rbac.authorization.k8s.io
  # Allows this specific user to read Secrets in any
  # namespace within this cluster
- kind: User
  name: uid-u98523-4509823
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: secret-reader
  apiGroup: rbac.authorization.k8s.io

Kubernetes API サーバーの CA 証明書の保存

このセクションは、ユーザー クラスタを作成し、OIDC 用の Kubectl プラグインを使用する従業員を対象としています。

ユーザー クラスタは Kubernetes API サーバーを備えています。また、ユーザー クラスタの kubeconfig ファイルには、Kubernetes API サーバーに証明書を発行した CA の証明書が保存されています。CA の証明書は、base-64 でエンコードされた certificate-authority-data フィールドの値です。この値をデコードし、server-ca-cert のようなローカル ファイルに保存する必要があります。

cat [USER_CLUSTER_KUBECONFIG]  | grep certificate-authority-data | awk '{ print $2}' | base64 --decode > server-ca-cert

クライアント認証構成ファイルの生成

このセクションは、ユーザー クラスタを作成し、OIDC 用の Kubectl プラグインを使用する従業員を対象としています。

kubectl oidc client-config \
--issuer-uri [ISSUER_URI] \
--redirect-uri [REDIRECT_URL] \
--client-id [CLIENT_ID] \
--client-secret [CLIENT_SECRET] \
--scopes "[CUSTOM_SCOPES]" \
--cluster-name [USER_CLUSTER_NAME] \
--server [CLUSTER_URL] \
--server-ca-file [SERVER_CA_CERT] \
--issuer-ca-file [PROVIDER_CA_CERT] \
--extra-params [KEY]=[VALUE], ... # e.g. --extra-params "resource=token-groups-claim"
> client-config.yaml

kubectl oidc client-config `
--issuer-uri [ISSUER_URI] `
--redirect-uri [REDIRECT_URL] `
--client-id [CLIENT_ID] `
--client-secret [CLIENT_SECRET] `
--scopes "[CUSTOM_SCOPES]" `
--cluster-name [USER_CLUSTER_NAME] `
--server [CLUSTER_URL] `
--server-ca-file [SERVER_CA_CERT] `
--issuer-ca-file [PROVIDER_CA_CERT] `
--extra-params [KEY]=[VALUE]
> client-config.yaml

このコマンドを実行すると、client-config.yaml というクライアント認証構成ファイルが生成されます。このファイルは手動で編集しないでください。

OIDC 用 Kubectl プラグインを使用したユーザー クラスタに対する認証

このセクションは、ユーザー クラスタを作成し、OIDC 用の Kubectl プラグインを使用する従業員を対象としています。

1. client-config.yaml ファイルを使用してプラグインを初期化します。

   kubectl oidc login --clientconfig-file=client-config.yaml --user [NAME] \
       --kubeconfig [KUBECONFIG_OUTPUT_PATH]

   ここで

   • [NAME] は、ユーザー名です。
   • [KUBECONFIG_OUTPUT_PATH] は、OIDC 用 Kubectl プラグインが認証情報を保存している kubeconfig ファイルのパスです。

   kubectl oidc login で、認証情報を入力できるブラウザを起動します。

   現在指定されている kubeconfig ファイルには、kubectl でユーザー クラスタ上の Kubernetes API サーバーに認証するために使用される ID トークンが含まれています。

   注: Windows ユーザーは、kubectl oidc login ではなく kubectl-oidc.exe login コマンドの実行が必要になる場合があります。

2. 認証が成功したことを確認するには、kubectl コマンドを実行します。例:

   kubectl get nodes --kubeconfig [KUBECONFIG_OUTPUT_PATH]

Google Cloud Console での OIDC の使用

このセクションは、ユーザー クラスタを作成し、Google Cloud Console を使用してクラスタに対して認証を行う従業員を対象としています。

1. クラスタが OIDC 用に構成されていることを確認します。

2. クラスタが、自動でクラスタ作成中に、または手動で Google Cloud で登録されていることを確認します。

3. Google Cloud コンソールの [Kubernetes クラスタ] ページにアクセスします。

   [Kubernetes クラスタ] ページに移動

4. クラスタのリストで、GKE On-Prem クラスタを見つけ、[ログイン] をクリックします。

5. [クラスタ用に構成された ID プロバイダで認証] を選択し、[ログイン] をクリックします。

   ID プロバイダにリダイレクトされます。ここで、ログイン、または Google Cloud コンソールがアカウントにアクセスすることへの同意が必要となる場合があります。その後、Google Cloud コンソールの [Kubernetes クラスタ] ページに再度リダイレクトされます。

概要

企業では、OpenID プロバイダとして機能する AD FS サーバーを実行しています。OpenID プロバイダは、OIDC と Google Cloud コンソール用の Kubectl プラグインという 2 つのクライアント アプリケーションを認識しています。OpenID プロバイダは、クライアント アプリケーションが openid と allatclaims スコープをリクエストできることを認識しています。

バージョン 5.0 より前の AD FS では、AD データベースの Token-Groups Qualified Names LDAP 属性が OpenID プロバイダの groups クレームにマッピングされます。5.0 以降では、この属性は Token-Groups Qualified by Domain name です。プロバイダは、従業員 ID、発行者 ID、openid クレーム、groups クレームを含むトークンを返します。groups（5.0 では Group）クレームでは、従業員が属するセキュリティ グループが一覧表示されます。

GKE On-Prem における OIDC のトラブルシューティング

無効な構成

Google Cloud コンソールでクラスタから OIDC 構成を読み取れない場合、[ログイン] ボタンは無効になります。

無効なプロバイダ構成

ID プロバイダの構成が無効な場合は、[ログイン] をクリックした後に、ID プロバイダからのエラー画面が表示されます。プロバイダ固有の手順に従って、プロバイダまたはクラスタを正しく構成します。

無効な権限

認証フローを完了してもクラスタの詳細が表示されない場合は、OIDC で使用したアカウントに適切な RBAC 権限が付与されていることを確認してください。これは、Google Cloud コンソールへのアクセスに使用するアカウントとは異なる場合があるので注意してください。

Error: missing 'RefreshToken' field in 'OAuth2Token' in credentials struct

このエラーは、認可サーバーから同意を求められたものの、必要な認証パラメータが指定されていない場合に発生します。prompt=consent パラメータを GKE On-Prem 構成ファイルの oidc: extraparams フィールドに指定し、--extra-params prompt=consent フラグを使用してクライアント認証ファイルを再生成します。

次のステップ

• GKE On-Prem での OpenID Connect による認証の概要を確認する。

• OAuth 2.0 の詳細を確認する。

• OpenID Connect の詳細を確認する。

• スコープとクレームについて詳細を確認する。

• ID トークンのカスタム クレームについて確認する。