Configura il provider LDAP per GKE Identity Service

Questo documento è rivolto agli amministratori di piattaforma o a chiunque gestisca la configurazione delle identità nella tua organizzazione. Spiega come configurare il provider di identità LDAP (Lightweight Directory Access Protocol) scelto per GKE Identity Service.

GKE Identity Service con LDAP può essere utilizzato con Google Distributed Cloud e Solo per Google Distributed Cloud.

Prima di iniziare

Durante la configurazione, potresti dover consultare la documentazione del tuo server LDAP. Le seguenti guide per gli amministratori spiegano la configurazione di alcuni provider LDAP noti e spiegano dove trovare le informazioni necessarie per accedere al server LDAP:

Ottieni dettagli di accesso LDAP

GKE Identity Service ha bisogno di un segreto dell'account di servizio per autenticarsi al server LDAP e recuperare i dettagli dell'utente. Esistono due tipi di account di servizio consentiti nell'autenticazione LDAP: l'autenticazione di base (che utilizza un nome utente e una password per eseguire l'autenticazione sul server) o un certificato client (utilizzando una chiave privata e un certificato client). Per scoprire quale tipo è supportato nel tuo server LDAP specifico, consulta la relativa documentazione. In genere, Google LDAP supporta solo un certificato client come account di servizio. OpenLDAP, Microsoft Active Directory e Azure AD supportano solo l'autenticazione di base in modo nativo.

Le istruzioni riportate di seguito mostrano come creare un client e ottenere i dati di accesso al server LDAP per alcuni provider di uso comune. Per altri fornitori LDAP, consulta la documentazione dell'amministratore del server.

Azure AD/Active Directory

  1. Segui le istruzioni dell'interfaccia utente per creare un nuovo account utente.
  2. Salva il nome distinto (DN) dell'utente e la password per utilizzarli in un secondo momento.

LDAP di Google

  1. Assicurati di aver eseguito l'accesso al tuo account Google Workspace o Cloud Identity all'indirizzo accounts.google.com.
  2. Accedi alla Console di amministrazione Google con l'account.
  3. Seleziona App - LDAP dal menu a sinistra.
  4. Fai clic su Aggiungi cliente.
  5. Aggiungi il nome e la descrizione del cliente che hai scelto e fai clic su Continua.
  6. Nella sezione Autorizzazioni di accesso, assicurati che il client disponga delle autorizzazioni appropriate per leggere la directory e accedere alle informazioni degli utenti.
  7. Scarica il certificato client e completa la creazione del client. Scaricando il certificato viene scaricata anche la chiave corrispondente.

  8. Esegui i seguenti comandi nella directory pertinente per codificare il certificato e la chiave in base64, sostituendo i nomi dei file del certificato e della chiave scaricati:

    cat CERTIFICATE_FILENAME.crt | base64
cat KEY_FILENAME.key | base64

  9. Salva le stringhe della chiave e del certificato criptato per un secondo momento.

OpenLDAP

  1. Utilizza il comando ldapadd per aggiungere una nuova voce dell'account di servizio nella directory. Assicurati che l'account abbia l'autorizzazione per leggere la directory e accedere alle informazioni utente.
  2. Salva il nome distinto (DN) e la password dell'utente completi per utilizzarli in un secondo momento.

Passaggi successivi

L'amministratore del cluster può configurare GKE Identity Service per singoli cluster o un parco risorse.