Configura proveedores de SAML para GKE Identity Service

En este documento, se explica cómo configurar el proveedor de identidad del Lenguaje de marcado para confirmaciones de seguridad (SAML) que elegiste para GKE Identity Service. Para obtener más información sobre GKE Identity Service, consulta la descripción general.

Este documento está dirigido a los administradores de plataformas o a quienes administran la configuración de identidad en tu organización. Si eres administrador de clústeres u operador de aplicaciones, pídele al administrador de la plataforma que siga esta sección antes de comenzar a configurar clústeres para GKE Identity Service con SAML.

Registra GKE Identity Service con tu proveedor

Si deseas registrar GKE Identity Service para el proveedor de identidad, necesitas la siguiente información:

  • EntityID: Este es un identificador único que representa al servicio de identidad de GKE para el proveedor. Esto se deriva de la URL del servidor de la API. Por ejemplo, si la URL del servidor de la API es https://cluster-server-url.com, entonces el EntityID debe ser https://cluster-server-url.com:8443. Ten en cuenta que la URL no tiene barras finales.
  • AssertionConsumerServiceURL: Esta es la URL de devolución de llamada en GKE Identity Service. La respuesta se reenvía a esta URL después de que el proveedor autentica al usuario. Por ejemplo, si la URL del servidor de la API es https://cluster-server-url.com, entonces el AssertionConsumerServiceURL debe ser https://cluster-server-url.com:8443/saml-callback.

Información de configuración del proveedor

En esta sección, se proporciona información adicional específica del proveedor para registrar GKE Identity Service. Si tu proveedor aparece en la siguiente lista, registra GKE Identity Service como tu aplicación cliente mediante las siguientes instrucciones.

Azure AD

  1. Si aún no lo hiciste, configura un usuario en Azure Active Directory.
  2. Registra una aplicación con la plataforma de identidad de Microsoft
  3. Abre la página Registros de apps en el Portal de Azure y selecciona el nombre de tu aplicación.
  4. En Administrar, selecciona la configuración de Autenticación.
  5. En Configuración de la plataforma, selecciona Aplicaciones empresariales.
  6. En Configurar el inicio de sesión único con SAML, edite la Configuración básica de SAML.
  7. En la sección Identificador (ID de la entidad), seleccione Agregar identificador.
  8. Ingresa el EntityID y la EntityID que derivaste de Registra el servicio de identidad de GKE con tu proveedor.
  9. Haz clic en Guardar para guardar esta configuración.
  10. Revisa la sección Atributos y reclamaciones para agregar atributos nuevos.
  11. En Certificados SAML, haz clic en Certificado (Base64) para descargar el certificado del proveedor de identidad.
  12. InsuficienteConfigura la app, copia el URL de acceso y Identificador de Azure AD.

Comparte detalles del proveedor

En el momento del registro del proveedor, debes compartir la siguiente información con el administrador de tu clúster. Estos detalles se obtienen de los metadatos del proveedor y se requieren en el momento de la configuración de GKE Identity Service con SAML.

  • idpEntityID: Este el identificador único para el proveedor de identidad. Corresponde a la URL del proveedor y también se llama identificador de Azure AD.
  • idpSingleSignOnURL: Este es el extremo al que se redirecciona al usuario para que se registre. También se denomina URL de acceso.
  • idpCertificateDataList: Este es el certificado público que usa el proveedor de identidad para la verificación de aserciones de SAML.