本页面适用于基础架构运维者。
本页面介绍如何通过您选择的 OpenID Connect(OIDC 提供商)启用 Anthos Management Center 身份验证。OIDC 是基于 OAuth 2.0 构建的身份验证层,它指定 RESTful HTTP API,并使用 JSON 作为数据格式。
通过 OIDC,您可以使用现有身份提供商来管理用户和群组身份验证。借助 OIDC,您可以按照组织中创建、启用和停用帐号的标准程序来管理对集群的访问权限。
准备工作
在设置 OIDC 之前,您需要做好以下准备:
- 用于访问 Management Center 的域名(由基础架构运维者提供),例如:
anthos.example.com
。 - OIDC 提供商,例如 Microsoft Active Directory Federation Services (ADFS)、Google SSO 或 Keycloak。集群和浏览器必须都能连接到 OIDC 提供商。OIDC 提供商无需能够直接连接回集群。如果您没有 OIDC 提供商,请参阅使用 Keycloak 进行身份验证进行安装。Keycloak 仅用于演示目的,不建议用于生产环境。
创建身份配置文件
身份配置文件包含使用身份提供商进行身份验证所需的配置。您可以按照以下步骤创建身份配置文件:
在 Management Center Console 中,打开身份和访问权限菜单。
在身份标签页中,点击设置 Anthos Identity Service (OIDC)。
在配置文件名称字段中分配方便用户使用的配置文件名称。这是配置文件所引用的名称。
输入您的 OIDC 提供商提供的 OIDC 提供商网址、客户端 ID 和客户端 Secret。
设置用户名声明字段。用户名声明是 OIDC 令牌中用于保留用户名的声明。例如,如果用户名声明为
email
,则由 OIDC 令牌中的用户字段进行识别。设置此声明时,请确保请求的范围中存在该声明。
设置用户名前缀字段。用户名前缀用于区分来自不同身份提供商的用户。为用户分配 RBAC 权限时,也需要包含用户前缀。
例如,如果用户名声明为
email
,且用户前缀为prefix-
,则用户会被标识为prefix-sally@example.com
。用户是sally@example.com
,并且前缀prefix-
用作用户前缀来区分不同的身份提供商。设置群组声明字段。在 Anthos 不公开模式下,默认值为
groups
。如需详细了解如何将群组绑定到角色,请参阅角色绑定。设置群组前缀字段。群组前缀用于区分不同身份提供商的群组。将 RBAC 权限分配给群组时,还必须包含群组前缀。
例如,如果群组声明为
groups
,且群组前缀为groupprefix-
,则群组将被标识为groupprefix-group
。群组为group
,前缀groupprefix-
用作群组的前缀。 我们建议您在前缀的末尾插入一个分隔符,如第 6 步设置用户名前缀部分所述。(可选)如果范围不是
openid email profile
,请设置范围字段。范围是用于指定在 ID 令牌中请求什么访问权限的标识符:
- OIDC 需要
openid
。 profile
包含用户的默认profile
声明。email
通常包括email
和email_verified
声明。
- OIDC 需要
如果 OIDC 提供商(例如 Google SSO)需要其他参数,请设置额外参数字段。
例如,您可以将额外参数字段设置为
prompt=consent,access_type=offline
,以便在每次请求访问范围授权之前显示同意屏幕。如果与
/.well-known/openid-configuration
页面或 OIDC 提供商的 JWKS 页面的 HTTPS 连接得到受信任的证书(例如自签名证书)保护,则您需要使用 OIDC 提供商所用的 HTTPS 证书填写 OIDC 提供商证书字段。将 OIDC 提供商的 PEM 编码的证书编码为
base64
。如需创建该字符串,请将证书(包括标头)编码为base64
。将生成的字符串添加为单独的一行。示例:
LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==
如需查看设置此字段的示例,请参阅使用 Keycloak 进行身份验证。
点击提交,然后返回到身份和访问权限标签页。
向 OIDC 提供商注册回调网址。
点击身份配置文件标签页中的添加,创建其他身份配置文件。
将身份配置文件应用于管理员集群
集群创建后,您必须将身份配置文件应用于集群。
在身份配置文件标签中,点击应用到集群。
点击管理员集群标签页。在配置文件下拉列表中,为之前创建的配置文件选择配置文件名称。您可以选择多个配置文件来应用到集群。
验证配置文件的域名。这是映射到身份提供商配置文件的域名。尝试访问网域上路径的未经身份验证的用户将被定向到使用此身份提供商登录。此域名由基础架构运维者分配。
如果要一次应用多个配置文件,则必须向每个配置文件分配不同的域名。
如需详细了解如何配置域名,请参阅配置域名以访问 Management Center。
输入被授予平台管理员访问权限的初始用户名(例如,alice@example.com、bob@example.com)。用户名应带有在配置文件中设置的用户前缀的前缀。例如,如果前缀为
prefix-
,则 Initial Platform Admin 字段中的用户名应类似于prefix-alice@example.com
。如需详细了解平台管理员和授权,请参阅授权角色。应用这些设置并等待几分钟,以应用配置并重启服务。
现在,您可以通过域名访问 Management Center 了。如果您未登录,系统会将您重定向到 OIDC 提供商进行登录。
使用 OIDC 登录管理员集群 Kubernetes API 服务器
设置 OIDC 后,用户可以从身份和访问权限页面下载 admin-actl-auth-login-config.yaml
。
在“身份和访问权限”页面上,点击身份标签页,然后点击集群标签页。
找到名为管理员的集群,然后点击查看配置详情。
点击下载登录配置,将用于通过身份登录的配置下载到管理员集群 Kubernetes API 服务器。
输出文件
admin-actl-auth-login-config.yaml
包含用户向管理员集群验证身份所需的配置。与需要访问集群的可信用户共享admin-actl-auth-login-config.yaml
。获取
admin-actl-auth-login-config.yaml
后,用户可以使用actl auth login
命令登录。当用户通过浏览器成功登录时,系统会生成 kubeconfig 档。用户可以使用该新文件通过其联合凭据来访问集群:# Where to store the new kubeconfig export ADMIN_OIDC_KUBECONFIG=$(pwd)/admin-oidc-kubeconfig actl auth login --login-config=admin-actl-auth-login-config.yaml --cluster=admin \ --kubeconfig=${ADMIN_OIDC_KUBECONFIG} \ --preferred-auth="CONFIGURATION_NAME"
将
CONFIGURATION_NAME
替换为要进行身份验证的身份个人资料名称。用户现在可以使用
${ADMIN_OIDC_KUBECONFIG}
访问管理员集群上的资源,例如:kubectl get pods -n anthos-management-center --kubeconfig=${ADMIN_OIDC_KUBECONFIG}
${ADMIN_OIDC_KUBECONFIG}
也可用于对actl
CLI 命令进行身份验证,例如:actl platform management-center describe --kubeconfig=${ADMIN_OIDC_KUBECONFIG}
重置身份验证配置
如果平台管理员因身份验证设置有误而无法访问 Management Center,请运行命令,将 OIDC 身份验证重置为原始设置,并获取 Management Center 的新访问网址。
actl auth reset --kubeconfig=ADMIN_KUBECONFIG
# Get the new access URL to management center.
actl platform management-center describe --kubeconfig=ADMIN_KUBECONFIG