GKE Identity Service용 SAML 공급업체 구성

이 문서에서는 선택한 보안 보장 마크업 언어(SAML) ID 공급업체를 GKE Identity Service에 구성하는 방법을 설명합니다. GKE Identity Service에 대한 자세한 내용은 개요를 참조하세요.

이 문서는 플랫폼 관리자나 조직의 ID 설정을 관리하는 사용자를 대상으로 합니다. 클러스터 관리자나 애플리케이션 운영자인 경우 SAML을 사용하여 GKE Identity Service의 클러스터 구성을 시작하기 전에 플랫폼 관리자에게 이 섹션을 따르도록 요청합니다.

공급업체에 GKE Identity Service 등록

ID 공급업체에 GKE Identity Service를 등록하려면 다음 정보가 필요합니다.

  • EntityID - 공급업체의 GKE Identity Service를 나타내는 고유 식별자입니다. 이는 API 서버의 URL에서 파생됩니다. 예를 들어 API 서버의 URL이 https://cluster-server-url.com이면 EntityIDhttps://cluster-server-url.com:8443이어야 합니다. URL에는 후행 슬래시가 없습니다.
  • AssertionConsumerServiceURL - GKE Identity Service의 콜백 URL입니다. 공급업체에서 사용자를 인증하면 응답이 이 URL로 전달됩니다. 예를 들어 API 서버의 URL이 https://cluster-server-url.com이면 AssertionConsumerServiceURLhttps://cluster-server-url.com:8443/saml-callback이어야 합니다.

공급업체 설정 정보

이 섹션에서는 GKE Identity Service를 등록할 수 있도록 추가 공급업체별 정보를 제공합니다. 공급업체가 여기에 나와 있는 경우 다음 안내에 따라 공급업체에 GKE Identity Service를 클라이언트 애플리케이션으로 등록합니다.

Azure AD

  1. 아직 수행하지 않았으면 Azure Active Directory에서 테넌트를 설정합니다.
  2. Microsoft ID 플랫폼에 애플리케이션 등록을 수행합니다.
  3. Azure Portal에서 앱 등록 페이지를 열고 애플리케이션 이름을 선택합니다.
  4. 관리에서 인증 설정을 선택합니다.
  5. 플랫폼 구성에서 엔터프라이즈 애플리케이션을 선택합니다.
  6. SAML로 싱글 사인온(SSO) 설정에서 기본 SAML 구성을 수정합니다.
  7. 식별자(항목 ID) 섹션에서 식별자 추가를 선택합니다.
  8. 공급업체에 GKE Identity Service 등록에서 파생된 항목 ID답장 URL을 입력합니다.
  9. 저장을 클릭하여 설정을 저장합니다.
  10. 속성 및 클레임 섹션을 검토하여 새 속성을 추가합니다.
  11. SAML 인증서에서 인증서(Base64)를 클릭하여 ID 공급업체 인증서를 다운로드합니다.
  12. 앱 설정 섹션에서 로그인 URLAzure AD 식별자를 복사합니다.

공급업체 세부정보 공유

공급업체를 등록할 때 다음 정보를 클러스터 관리자와 공유해야 합니다. 이러한 세부정보는 공급업체 메타데이터에서 가져오며 SAML로 GKE Identity Service를 구성할 때 필요합니다.

  • idpEntityID - ID 공급업체의 고유 식별자입니다. 이는 공급업체의 URL에 해당하며 Azure AD 식별자라고도 합니다.
  • idpSingleSignOnURL - 사용자가 가입을 위해 리디렉션되는 엔드포인트입니다. 이를 로그인 URL이라고도 합니다.
  • idpCertificateDataList - SAML 어설션 확인을 위해 ID 공급업체에서 사용하는 공개 인증서입니다.