GKE Identity Service に SAML プロバイダを構成する
このドキュメントでは、選択した Security Assertion Markup Language(SAML) ID プロバイダを GKE Identity Service 用に構成する方法について説明します。GKE Identity Service の詳細については、概要をご覧ください。
このドキュメントは、組織のプラットフォーム管理者または ID 設定の管理者を対象としています。クラスタ管理者またはアプリケーション オペレータの場合は、SAML を使用して GKE Identity Service のクラスタを構成する前に、このセクションに記載された処理を行うようプラットフォーム管理者に依頼してください。
プロバイダに GKE Identity サービスを登録する
ID プロバイダに GKE Identity Service を登録するには、次の情報を用意する必要があります。
EntityID- プロバイダの GKE Identity Service を表す一意の識別子。これは API サーバーの URL から取得します。たとえば、API サーバーの URL がhttps://cluster-server-url.comの場合、EntityIDはhttps://cluster-server-url.com:8443になります。URL の末尾にスラッシュはありません。AssertionConsumerServiceURL- GKE Identity Service のコールバック URL。プロバイダがユーザーを認証した後、レスポンスがこの URL に転送されます。たとえば、API サーバーの URL がhttps://cluster-server-url.comの場合、AssertionConsumerServiceURLはhttps://cluster-server-url.com:8443/saml-callbackになります。
プロバイダの設定情報
このセクションでは、GKE Identity Service の登録に関するプロバイダ固有の追加情報について説明します。プロバイダがここに一覧表示されている場合は、次の手順で、クライアント アプリケーションとしてプロバイダに GKE Identity Service を登録します。
Azure AD
- まだ行っていない場合は、Azure Active Directory にテナントを設定します。
- Microsoft Identity Platform にアプリケーションを登録します。
- Azure Portal で [App registrations] ページを開き、アプリケーションの名前を選択します。
- [Manage] で [Authentication] 設定を選択します。
- [Platform Configurations] で [Enterprise Applications] を選択します。
- [Set up Single Sign-On with SAML] で、[Basic SAML Configuration] を編集します。
- [Identifier (Entity ID)] セクションで、[Add Identifier] を選択します。
- プロバイダへの GKE Identity サービスの登録で取得したエンティティ ID と応答 URL を入力します。
- [Save] をクリックして、これらの設定を保存します。
- [Attributes & Claims] セクションで、新しい属性を追加します。
- [SAML Certificates] で [Certificate (Base64)] をクリックして ID プロバイダの証明書をダウンロードします。
- [Set up app] セクションで、ログイン URL と Azure AD の識別子をコピーします。
プロバイダの詳細を共有する
プロバイダを登録する際に、クラスタ管理者と次の情報を共有する必要があります。これらの詳細は、プロバイダのメタデータから取得され、SAML で GKE Identity Service を構成するときに必要になります。
idpEntityID- ID プロバイダの一意の識別子。これはプロバイダの URL に対応し、Azure AD 識別子とも呼ばれます。idpSingleSignOnURL- ユーザーが登録のためにリダイレクトされるエンドポイントです。これはログイン URL とも呼ばれます。idpCertificateDataList- SAML アサーションの検証に ID プロバイダが使用する公開証明書。