Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Introdução ao Anthos Identity Service

O Anthos Identity Service é um serviço de autenticação que permite trazer as soluções de identidade existentes para autenticação em vários ambientes do Anthos. Os usuários podem fazer login e usar os clusters do Anthos na linha de comando ou no Console do Google Cloud. Tudo isso usando o provedor de identidade atual.

Se você já usa ou quer usar os IDs do Google para fazer login nos seus clusters do Anthos em vez de um provedor OIDC ou LDAP, consulte Como se conectar a clusters registrados com o gateway do Connect.

Provedores de identidade compatíveis

O Anthos Identity Service é compatível com provedores de identidade usando os seguintes protocolos:

  • OpenID Connect (OIDC). Fornecemos instruções específicas para a configuração de alguns provedores OpenID conhecidos, incluindo a Microsoft, mas você pode usar qualquer provedor que implemente o OIDC.
  • Protocolo leve de acesso a diretórios (LDAP). É possível usar o Anthos Identity Service para fazer a autenticação usando LDAP com o Active Directory ou um servidor LDAP.

Tipos de cluster compatíveis

Protocolo clusters do Anthos no VMware Clusters do Anthos em bare metal Clusters do Anthos no AWS Clusters do Anthos no Azure Clusters anexados ao EKS GKE
OIDC
LDAP

Outros tipos de cluster anexados não são compatíveis com o uso do Anthos Identity Service nesta versão.

Como funciona

Com o Anthos Identity Service, os usuários fazem login nos clusters configurados usando o nome de usuário e a senha comuns da organização. A forma como isso funciona depende do tipo de provedor de identidade usado.

OIDC

Com os provedores de OIDC, o próprio Anthos Identity Service é registrado como um aplicativo cliente para o provedor de identidade e, em seguida, configurado para cada cluster pelo administrador do cluster.

Diagrama mostrando o fluxo básico do SSE

Quando um usuário quiser fazer login em um cluster pela linha de comando, ele precisará primeiro executar um comando gcloud anthos auth login e inserir os detalhes de login para o provedor de identidade. Isso recupera um token de identidade do provedor. O token é adicionado ao arquivo kubeconfig e é usado ao fazer solicitações com kubectl ao cluster. O servidor da API Kubernetes usa o Anthos Identity Service para validar o token de ID e permitir (ou negar) o acesso ao cluster. O Anthos Identity Service também pode recuperar informações de assinatura do grupo de segurança do provedor de identidade.

Os administradores do cluster podem adicionar um controle de acesso mais detalhado usando o controle de acesso baseado em papéis (RBAC, na sigla em inglês) do Kubernetes, se necessário.

Os usuários também podem fazer login com o OIDC no Console do Google Cloud. Nesse caso, ele é direcionado para a IU do provedor de identidade para fornecer os detalhes de login antes de retornar ao Console do Google Cloud para continuar visualizando e gerenciando os recursos do cluster.

LDAP

Com os provedores LDAP, o Anthos Identity Service é configurado para cada cluster pelo administrador do cluster, incluindo o fornecimento de credenciais de cliente LDAP para o Anthos Identity Service.

Diagrama mostrando o fluxo LDAP do ALS

Quando um usuário quiser fazer login em um cluster pela linha de comando, ele precisará primeiro executar um comando gcloud anthos auth login e inserir os detalhes de login para o provedor de identidade. A solicitação vai para o Anthos Identity Service, que consulta o servidor LDAP e retorna os atributos do usuário em um token de curta duração (STS, na sigla em inglês). Assim, as credenciais LDAP do usuário não precisam ser armazenadas localmente em texto simples. O token é adicionado ao arquivo kubeconfig e é usado ao fazer solicitações com kubectl ao cluster. O servidor da API Kubernetes usa o Anthos Identity Service para receber as informações de usuário e grupo do token e permitir (ou negar) o acesso ao cluster. Por padrão, o token dura uma hora antes de o usuário precisar fazer login novamente.

Os administradores do cluster podem adicionar um controle de acesso mais detalhado usando o controle de acesso baseado em papéis (RBAC, na sigla em inglês) do Kubernetes, se necessário.

Opções de configuração

Dependendo do tipo e do ambiente do cluster, os administradores do cluster podem configurar o Anthos Identity Service em cada cluster individualmente ou no nível da frota do projeto.

Configuração por cluster

É possível configurar o Anthos Identity Service em um cluster por cluster para clusters do Anthos no local (VMware e bare metal), no Azure e na AWS. Consulte os guias a seguir para mais detalhes:

Configuração do OIDC

Configuração LDAP

Configuração no nível da frota

Uma frota no Google Cloud é um grupo lógico de clusters que permite ativar a funcionalidade e atualizar a configuração nesses clusters. Para tipos de cluster compatíveis, é possível configurar o Anthos Identity Service para os clusters na frota do projeto. A configuração no nível da frota permite aplicar de maneira centralizada a configuração de autenticação a vários clusters, em que a configuração é mantida pelo Google Cloud.

Os seguintes tipos de cluster são compatíveis com a configuração no nível da frota:

O seguinte tipo de cluster e ambiente é compatível com a configuração no nível da frota como um recurso Pré-GA:

Consulte os seguintes detalhes da configuração:

A seguir

  • Se você é um administrador da plataforma ou um administrador do cluster e quer configurar clusters para usar o Anthos Identity Service, siga os guias de configuração apropriados acima.
  • Se você é um desenvolvedor ou outro usuário de cluster e quer acessar clusters do Anthos usando sua identidade atual, consulte Acessar clusters usando o Anthos Identity Service.