Mengonfigurasi penyedia SAML untuk GKE Identity Service

Dokumen ini menjelaskan cara mengonfigurasi penyedia identitas Security Assertion Markup Language (SAML) yang Anda pilih untuk GKE Identity Service. Untuk mengetahui selengkapnya tentang GKE Identity Service, lihat ringkasan.

Dokumen ini ditujukan untuk administrator platform, atau siapa pun yang mengelola penyiapan identitas di organisasi Anda. Jika Anda adalah administrator cluster atau operator aplikasi, minta administrator platform untuk mengikuti bagian ini sebelum memulai Mengonfigurasi cluster untuk GKE Identity Service dengan SAML.

Mendaftarkan GKE Identity Service dengan penyedia Anda

Untuk mendaftarkan GKE Identity Service bagi penyedia identitas, Anda memerlukan informasi berikut:

  • EntityID - Ini adalah ID unik yang merepresentasikan GKE Identity Service untuk penyedia. URL ini berasal dari URL server API. Misalnya, jika URL server API adalah https://cluster-server-url.com, EntityID harus https://cluster-server-url.com:8443. Perlu diperhatikan bahwa URL tidak memiliki garis miring di akhir URL.
  • AssertionConsumerServiceURL - Ini adalah URL callback di GKE Identity Service. Respons diteruskan ke URL ini setelah penyedia mengautentikasi pengguna. Misalnya, jika URL server API adalah https://cluster-server-url.com, AssertionConsumerServiceURL harus https://cluster-server-url.com:8443/saml-callback.

Informasi penyiapan penyedia

Bagian ini memberikan informasi tambahan khusus penyedia untuk mendaftarkan GKE Identity Service. Jika penyedia Anda tercantum di sini, daftarkan GKE Identity Service dengan penyedia Anda sebagai aplikasi klien menggunakan petunjuk berikut.

Azure AD

  1. Jika Anda belum melakukannya, Siapkan tenant di Azure Active Directory.
  2. Daftarkan aplikasi ke platform identitas Microsoft.
  3. Buka halaman App registrations di Azure Portal dan pilih aplikasi Anda berdasarkan nama.
  4. Di bagian Manage, pilih setelan Authentication.
  5. Di bagian Platform Configurations, pilih Enterprise Applications.
  6. Pada Set up Single Sign-On with SAML, edit Basic SAML Configuration.
  7. Di bagian ID (ID Entitas), pilih Tambahkan ID.
  8. Masukkan EntityID dan Reply URL yang Anda dapatkan dari Mendaftarkan GKE Identity Service dengan penyedia Anda
  9. Klik Simpan untuk menyimpan setelan ini.
  10. Tinjau bagian Atribut & Klaim untuk menambahkan atribut baru.
  11. Pada bagian SAML Certificates, klik Sertifikat (Base64) untuk mendownload sertifikat penyedia identitas.
  12. Di bagian Set up app, salin Login URL dan ID Azure AD.

Bagikan detail penyedia

Pada saat mendaftarkan penyedia, Anda harus membagikan informasi berikut kepada administrator cluster. Detail ini diperoleh dari metadata penyedia dan diperlukan pada saat mengonfigurasi GKE Identity Service dengan SAML.

  • idpEntityID - Ini adalah ID unik untuk penyedia identitas. Nama ini sesuai dengan URL penyedia dan juga disebut ID Azure AD.
  • idpSingleSignOnURL - Ini adalah endpoint tempat pengguna dialihkan untuk mendaftar. Hal ini juga disebut URL Login.
  • idpCertificateDataList- Ini adalah sertifikat publik yang digunakan oleh penyedia identitas untuk verifikasi pernyataan SAML.