为 GKE Identity Service 配置 SAML 提供方

本文档介绍如何为 GKE Identity Service 配置所选的安全断言标记语言 (SAML) 身份提供方。如需详细了解 GKE Identity Service,请参阅概览

本文档适用于平台管理员或组织中管理身份设置的人员。如果您是集群管理员或应用运维人员,请先让您的平台管理员按照本部分中的说明操作,然后再开始使用 SAML 为 GKE Identity Service 配置集群

向您的提供方注册 GKE Identity Service

如需为身份提供方注册 GKE Identity Service,您需要以下信息:

  • EntityID - 这是表示提供方的 GKE Identity Service 的唯一标识符。它来源于 API 服务器的网址。例如,如果 API 服务器的网址是 https://cluster-server-url.com,则 EntityID 应为 https://cluster-server-url.com:8443。请注意,网址末尾没有斜杠。
  • AssertionConsumerServiceURL - 这是 GKE Identity Service 上的回调网址。提供方对用户进行身份验证后,响应将转发到此网址。例如,如果 API 服务器的网址是 https://cluster-server-url.com,则 AssertionConsumerServiceURL 应为 https://cluster-server-url.com:8443/saml-callback

提供商设置信息

本部分提供有关注册 GKE Identity Service 的其他特定于提供方的信息。 如果此处列出了您的提供方,请按照以下说明将 GKE Identity Service 作为客户端应用向您的提供方注册。

Azure AD

  1. 如果您尚未在 Azure Active Directory 上设置租户,请进行设置。
  2. 向 Microsoft Identity Platform 注册应用
  3. 打开 Azure 门户中的应用注册页面,然后按名称选择您的应用。
  4. 管理下,选择身份验证设置。
  5. 平台配置下,选择企业应用
  6. 使用 SAML 设置单点登录中,修改基本 SAML 配置
  7. 标识符(实体 ID)部分下,选择添加标识符
  8. 输入您在向您的提供方注册 GKE Identity Service 时获取的 EntityID回复网址
  9. 点击保存以保存这些设置。
  10. 查看属性和声明部分以添加任何新属性。
  11. SAML 证书下,点击证书 (Base64) 以下载身份提供方证书。
  12. 设置应用部分下,复制登录网址Azure AD 标识符

分享提供商详细信息

注册提供方时,您必须与集群管理员共享以下信息。这些详细信息从提供方元数据获取,并且在使用 SAML 配置 GKE Identity Service 时是必需的。

  • idpEntityID - 这是身份提供方的唯一标识符。它对应于提供方的网址,也称为 Azure AD 标识符
  • idpSingleSignOnURL - 这是用于重定向用户以进行注册的端点,也称为“登录网址”。
  • idpCertificateDataList - 这是身份提供方用于 SAML 断言验证的公共证书。