Menghubungkan penyedia identitas yang ada

Halaman ini menjelaskan cara menghubungkan perangkat air-gapped Google Distributed Cloud (GDC) ke penyedia identitas (IdP) yang sudah ada di organisasi Anda. IdP adalah sistem yang mengelola dan mengamankan identitas pengguna secara terpusat, serta menyediakan layanan autentikasi. Dengan menghubungkan ke IdP yang ada, pengguna dapat mengakses GDC menggunakan kredensial organisasi mereka, tanpa perlu membuat atau mengelola akun terpisah dalam GDC. Proses ini memastikan pengalaman login yang lancar dan aman. Karena IdP adalah resource global, pengguna dapat mengakses GDC melalui IdP yang sama, terlepas dari zona tempat mereka bekerja.

Setelah penyedia identitas awal disiapkan dan dihubungkan ke penyedia identitas, Anda dapat menghubungkan penyedia identitas tambahan yang ada menggunakan konsol GDC.

Anda dapat terhubung ke penyedia identitas yang ada menggunakan salah satu cara berikut:

• OpenID Connect (OIDC)
• Security Assertion Markup Language (SAML)

Sebelum memulai

Untuk mendapatkan izin yang diperlukan untuk menghubungkan penyedia identitas yang ada, minta Admin IAM Organisasi Anda untuk memberi Anda peran Admin IAM Organisasi. Admin awal yang Anda tentukan saat menghubungkan penyedia identitas juga harus diberi peran Admin IAM Organisasi.

Menghubungkan ke penyedia identitas yang sudah ada

Untuk menghubungkan penyedia identitas, Anda harus memiliki satu ID klien dan rahasia dari penyedia identitas Anda. Anda dapat terhubung ke penyedia OIDC atau SAML yang ada menggunakan konsol.

Menghubungkan ke penyedia OIDC yang sudah ada

1. Login ke konsol GDC. Contoh berikut menunjukkan konsol setelah login ke organisasi bernama org-1:
2. Di menu navigasi, klik Identity and Access > Identity.
3. Klik Siapkan Penyedia Identitas Baru.

4. Di bagian Konfigurasi penyedia identitas, selesaikan langkah-langkah berikut dan klik Berikutnya:

   1. Dalam daftar Identity provider, pilih Open ID Connect (OIDC).
   2. Masukkan Nama penyedia identitas.
   3. Di kolom URL Google Distributed Cloud, masukkan URL yang Anda gunakan untuk mengakses GDC.
   4. Di kolom URI Penerbit, masukkan URL tempat permintaan otorisasi dikirim ke penyedia identitas Anda. Server Kubernetes API menggunakan URL ini untuk menemukan kunci publik agar dapat memverifikasi token. URL harus menggunakan HTTPS.
   5. Di kolom Client ID, masukkan ID untuk aplikasi klien yang membuat permintaan autentikasi ke penyedia identitas.
      1. Di bagian Client secret, pilih Configure client secret (Recommended).
      2. Di kolom Rahasia klien, masukkan rahasia klien, yang merupakan rahasia bersama antara penyedia identitas Anda dan perangkat air-gapped GDC.

   6. Opsional: Di kolom Prefix, masukkan awalan. Awalan adalah kolom Awalan penyedia identitas, masukkan awalan. Awalan ditambahkan di awal klaim pengguna dan klaim grup. Awalan digunakan untuk membedakan konfigurasi penyedia identitas yang berbeda. Misalnya, jika Anda menetapkan awalan myidp, klaim pengguna mungkin berupa myidpusername@example.com dan klaim grup mungkin berupa myidpgroup@example.com. Awalan juga harus disertakan saat menetapkan izin kontrol akses berbasis peran (RBAC) ke grup.

   7. Opsional: Di bagian Enkripsi, pilih Aktifkan token terenkripsi.

      Untuk mengaktifkan token enkripsi, Anda harus memiliki peran Admin Federasi IdP. Minta Admin IAM Organisasi Anda untuk memberi Anda peran IdP Federation Admin (idp-federation-admin).

      1. Di kolom Key ID, masukkan ID kunci Anda. ID kunci adalah kunci publik dari token enkripsi web JSON (JWT). Penyedia OIDC Anda menyiapkan dan menyediakan ID kunci.
      2. Di kolom Decryption key, masukkan kunci dekripsi dalam format PEM. Kunci dekripsi adalah kunci asimetris yang mendekripsi enkripsi. Penyedia OIDC Anda akan menyiapkan dan menyediakan kunci dekripsi.

5. Di bagian Konfigurasi atribut, selesaikan langkah-langkah berikut dan klik Berikutnya:

   1. Di kolom Certificate authority for OIDC provider, masukkan sertifikat berenkode PEM yang dienkode base64 untuk penyedia identitas. Untuk mengetahui informasi selengkapnya, lihat https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail.
      1. Untuk membuat string, enkode sertifikat, termasuk header, ke dalam base64.
      2. Sertakan string yang dihasilkan sebagai satu baris. Contoh: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==
   2. Di kolom Klaim grup, masukkan nama klaim dalam token penyedia identitas yang menyimpan informasi grup pengguna.
   3. Di kolom Klaim pengguna, masukkan klaim untuk mengidentifikasi setiap pengguna. Klaim default untuk banyak penyedia adalah sub. Anda dapat memilih klaim lain, seperti email atau name, bergantung pada penyedia identitas. Klaim selain email diawali dengan URL penerbit untuk mencegah bentrokan penamaan.
   4. Opsional: Jika penyedia identitas Anda menggunakan GKE Identity Service, di bagian Atribut kustom, klik Tambahkan dan masukkan pasangan nilai kunci untuk klaim tambahan tentang pengguna, seperti URL foto profil atau departemennya.
   5. Jika penyedia identitas Anda memerlukan cakupan tambahan, di kolom Cakupan, masukkan cakupan yang dipisahkan koma untuk dikirim ke penyedia identitas. Misalnya, Microsoft Azure dan Okta memerlukan cakupan offline_access.
   6. Di bagian Parameter tambahan, masukkan pasangan nilai kunci tambahan (dipisahkan dengan koma) yang diperlukan oleh penyedia identitas Anda. Jika Anda memberikan otorisasi ke grup, teruskan resource=token-groups-claim. Jika server otorisasi Anda meminta izin untuk autentikasi dengan Microsoft Azure dan Okta, tetapkan prompt=consent. Untuk Cloud Identity, tetapkan prompt=consent,access_type=offline.

6. Di bagian Tentukan admin awal, selesaikan langkah-langkah berikut lalu klik Berikutnya:

   1. Pilih apakah akan menambahkan pengguna atau grup individual sebagai administrator awal.
   2. Di kolom Alias pengguna atau grup, masukkan alamat email pengguna atau grup untuk mengakses organisasi. Jika Anda adalah administrator, masukkan alamat email Anda, misalnya sally@example.com. Awalan ditambahkan sebelum nama pengguna, seperti myidp-sally@example.com.

7. Tinjau pilihan Anda, lalu klik Siapkan.

Profil penyedia identitas baru tersedia di daftar Profil identitas.

Menghubungkan ke penyedia SAML yang ada

1. Login ke konsol GDC.
2. Di menu navigasi, klik Identity and Access > Identity.

3. Di bagian Konfigurasi penyedia identitas, selesaikan langkah-langkah berikut dan klik Berikutnya:

   1. Di menu drop-down Identity provider, pilih Security Assertion Markup Language (SAML).
   2. Masukkan Nama penyedia identitas.
   3. Di kolom Identity ID, masukkan ID untuk aplikasi klien yang membuat permintaan autentikasi ke penyedia identitas.
   4. Di kolom SSO URI, masukkan URL ke endpoint single sign-on penyedia. Contoh: https://www.idp.com/saml/sso.

   5. Di kolom Awalan penyedia identitas, masukkan awalan. Awalan ditambahkan ke awal klaim pengguna dan grup. Awalan membedakan konfigurasi penyedia identitas yang berbeda. Misalnya: Jika Anda menetapkan awalan myidp, klaim pengguna dapat ditampilkan sebagai myidpusername@example.com dan klaim grup dapat ditampilkan sebagai myidpgroup@example.com. Anda juga harus menyertakan awalan saat menetapkan izin RBAC ke grup.

   6. Opsional: Di bagian Pernyataan SAML, pilih Aktifkan pernyataan SAML terenkripsi.

      Untuk mengaktifkan pernyataan SAML terenkripsi, Anda harus memiliki peran Admin Federasi IdP. Minta Admin IAM Organisasi Anda untuk memberi Anda peran Admin Federasi IdP (idp-federation-admin).

      1. Di kolom Encryption certificate, masukkan sertifikat enkripsi Anda dalam format PEM. Anda menerima sertifikat enkripsi setelah membuat penyedia SAML.
      2. Di kolom Decryption key, masukkan kunci dekripsi Anda. Anda menerima kunci dekripsi setelah membuat penyedia SAML.

   7. Opsional: Di bagian SAML Signed requests, centang Enable signed SAML requests.

      1. Di kolom Signing certificate, masukkan sertifikat penandatanganan Anda dalam format file PEM. Penyedia SAML Anda akan menyiapkan dan membuat sertifikat penandatanganan untuk Anda.
      2. Di kolom Signing key, masukkan kunci penandatanganan Anda dalam format file PEM. Penyedia SAML Anda menyiapkan dan membuat kunci penandatanganan untuk Anda.

4. Di halaman Configure attributes, selesaikan langkah-langkah berikut dan klik Next:

   1. Di kolom IDP certificate, masukkan sertifikat berenkode PEM yang dienkode ke base64 untuk penyedia identitas. Untuk mengetahui informasi selengkapnya, lihat https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail.
      1. Untuk membuat string, enkode sertifikat, termasuk header, ke dalam base64.
      2. Sertakan string yang dihasilkan sebagai satu baris. Contoh: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==
   2. Masukkan sertifikat tambahan di kolom Additional IDP certificate.
   3. Di kolom Atribut pengguna, masukkan atribut untuk mengidentifikasi setiap pengguna. Atribut default untuk banyak penyedia adalah sub. Anda dapat memilih atribut lain, seperti email atau name, bergantung pada penyedia identitas. Atribut selain email diberi awalan dengan URL penerbit untuk mencegah bentrokan penamaan.
   4. Di kolom Atribut grup, masukkan nama atribut dalam token penyedia identitas yang menyimpan informasi grup pengguna.
   5. Opsional: Jika penyedia identitas Anda menggunakan GKE Identity Service, di area Pemetaan atribut, klik Tambahkan dan masukkan pasangan nilai kunci untuk atribut tambahan tentang pengguna, seperti URL foto profil atau departemennya.

5. Di bagian Tentukan admin awal, selesaikan langkah-langkah berikut lalu klik Berikutnya:

   1. Pilih apakah akan menambahkan pengguna atau grup individual sebagai administrator awal.
   2. Di kolom Username, masukkan alamat email pengguna atau grup untuk mengakses organisasi. Jika Anda adalah administrator, masukkan alamat email Anda, misalnya kiran@example.com. Awalan ditambahkan sebelum nama pengguna, seperti myidp-kiran@example.com.

6. Di halaman Tinjau, periksa semua nilai setiap konfigurasi identitas sebelum melanjutkan. Klik Kembali untuk kembali ke halaman sebelumnya dan melakukan koreksi yang diperlukan. Setelah mengonfigurasi semua nilai sesuai spesifikasi Anda, klik Siapkan.