GKE Identity Service용 SAML 공급업체 구성
이 문서에서는 선택한 보안 보장 마크업 언어(SAML) ID 공급업체를 GKE Identity Service에 구성하는 방법을 설명합니다. GKE Identity Service에 대한 자세한 내용은 개요를 참조하세요.
이 문서는 플랫폼 관리자나 조직의 ID 설정을 관리하는 사용자를 대상으로 합니다. 클러스터 관리자나 애플리케이션 운영자인 경우 SAML을 사용하여 GKE Identity Service의 클러스터 구성을 시작하기 전에 플랫폼 관리자에게 이 섹션을 따르도록 요청합니다.
공급업체에 GKE Identity Service 등록
ID 공급업체에 GKE Identity Service를 등록하려면 다음 정보가 필요합니다.
EntityID
- 공급업체의 GKE Identity Service를 나타내는 고유 식별자입니다. 이는 API 서버의 URL에서 파생됩니다. 예를 들어 API 서버의 URL이https://cluster-server-url.com
이면EntityID
는https://cluster-server-url.com:8443
이어야 합니다. URL에는 후행 슬래시가 없습니다.AssertionConsumerServiceURL
- GKE Identity Service의 콜백 URL입니다. 공급업체에서 사용자를 인증하면 응답이 이 URL로 전달됩니다. 예를 들어 API 서버의 URL이https://cluster-server-url.com
이면AssertionConsumerServiceURL
은https://cluster-server-url.com:8443/saml-callback
이어야 합니다.
공급업체 설정 정보
이 섹션에서는 GKE Identity Service를 등록할 수 있도록 추가 공급업체별 정보를 제공합니다. 공급업체가 여기에 나와 있는 경우 다음 안내에 따라 공급업체에 GKE Identity Service를 클라이언트 애플리케이션으로 등록합니다.
Azure AD
- 아직 수행하지 않았으면 Azure Active Directory에서 테넌트를 설정합니다.
- Microsoft ID 플랫폼에 애플리케이션 등록을 수행합니다.
- Azure Portal에서 앱 등록 페이지를 열고 애플리케이션 이름을 선택합니다.
- 관리에서 인증 설정을 선택합니다.
- 플랫폼 구성에서 엔터프라이즈 애플리케이션을 선택합니다.
- SAML로 싱글 사인온(SSO) 설정에서 기본 SAML 구성을 수정합니다.
- 식별자(항목 ID) 섹션에서 식별자 추가를 선택합니다.
- 공급업체에 GKE Identity Service 등록에서 파생된 항목 ID 및 답장 URL을 입력합니다.
- 저장을 클릭하여 설정을 저장합니다.
- 속성 및 클레임 섹션을 검토하여 새 속성을 추가합니다.
- SAML 인증서에서 인증서(Base64)를 클릭하여 ID 공급업체 인증서를 다운로드합니다.
- 앱 설정 섹션에서 로그인 URL 및 Azure AD 식별자를 복사합니다.
공급업체 세부정보 공유
공급업체를 등록할 때 다음 정보를 클러스터 관리자와 공유해야 합니다. 이러한 세부정보는 공급업체 메타데이터에서 가져오며 SAML로 GKE Identity Service를 구성할 때 필요합니다.
idpEntityID
- ID 공급업체의 고유 식별자입니다. 이는 공급업체의 URL에 해당하며 Azure AD 식별자라고도 합니다.idpSingleSignOnURL
- 사용자가 가입을 위해 리디렉션되는 엔드포인트입니다. 이를 로그인 URL이라고도 합니다.idpCertificateDataList
- SAML 어설션 확인을 위해 ID 공급업체에서 사용하는 공개 인증서입니다.