Cette page a été traduite par l'API Cloud Translation.

Se connecter à un fournisseur d'identité

Cette page explique comment connecter Google Distributed Cloud (GDC) air-gapped au fournisseur d'identité (IdP) existant de votre organisation. Un IdP est un système qui gère et sécurise de manière centralisée les identités des utilisateurs, et qui fournit des services d'authentification. En se connectant à un IdP existant, les utilisateurs peuvent accéder à GDC à l'aide des identifiants de leur organisation, sans avoir à créer ni à gérer de comptes distincts dans GDC. Ce processus permet de garantir une expérience de connexion fluide et sécurisée. Étant donné qu'un IdP est une ressource globale, les utilisateurs peuvent accéder à GDC via le même IdP, quelle que soit la zone dans laquelle ils travaillent.

Cette page s'adresse aux audiences du groupe des administrateurs de plate-forme, comme les administrateurs informatiques ou les ingénieurs en sécurité, qui souhaitent se connecter à un IdP. Pour en savoir plus, consultez Audiences pour la documentation GDC air-gapped.

Vous pouvez vous connecter à un fournisseur d'identité existant à l'aide de l'une des méthodes suivantes :

OpenID Connect (OIDC)
Security Assertion Markup Language (SAML)

Avant de commencer

Avant de vous connecter à un fournisseur d'identité existant, assurez-vous que la configuration initiale est terminée et que vous disposez des autorisations nécessaires.

Configuration initiale de la connexion au fournisseur d'identité

Un membre du groupe d'opérateurs d'infrastructure de votre organisation doit configurer la connexion initiale au fournisseur d'identité avant que les utilisateurs puissent accéder aux clusters ou aux tableaux de bord GDC.

Pour ce faire, ils peuvent ouvrir une demande dans, le système de gestion des demandes, et fournir les informations suivantes sur le fournisseur d'identité :

Nombre de serveurs et leurs types.
Quantité de stockage par blocs en To.
Quantité de stockage d'objets en To.
Paramètres obligatoires pour OIDC :
- clientID : ID de l'application cliente qui envoie des requêtes d'authentification au fournisseur OpenID.
- clientSecret : code secret connu uniquement de l'application et du fournisseur OpenID.
- issuerURL : URL à laquelle les requêtes d'autorisation pour le fournisseur OpenID sont envoyées.
- scopes : niveaux d'accès supplémentaires à envoyer au fournisseur OpenID.
- userclaim : revendication du jeton Web JSON (JWT) à utiliser comme nom d'utilisateur.
- certificateAuthorityData : chaîne encodée en base64 du certificat encodé au format PEM pour le fournisseur OIDC.
Paramètres obligatoires pour les fournisseurs SAML :
- idpCertificateDataList : certificats IdP permettant de valider la réponse SAML. Ces certificats doivent être encodés en base64 standard et au format PEM. Seuls deux certificats maximum sont acceptés pour faciliter la rotation des certificats du fournisseur d'identité.
- idpEntityID : ID d'entité SAML du fournisseur SAML, spécifié au format URI. Exemple : https://www.idp.com/saml.
- idpSingleSignOnURI : URI du point de terminaison SSO du fournisseur SAML. Exemple : https://www.idp.com/saml/sso.
Nom d'utilisateur ou groupe de noms d'utilisateur pour les administrateurs initiaux.

Autorisations requises

Pour obtenir les autorisations nécessaires pour connecter un fournisseur d'identité existant, procédez comme suit :

Demandez à l'administrateur IAM de votre organisation de vous attribuer le rôle Administrateur de la fédération IdP (idp-federation-admin).
Assurez-vous que l'administrateur initial que vous spécifiez lorsque vous connectez le fournisseur d'identité dispose du rôle IAM Administrateur de l'organisation (organization-iam-admin).

Se connecter à un fournisseur d'identité existant

Pour connecter le fournisseur d'identité, vous devez disposer d'un seul ID client et d'un seul secret de la part de votre fournisseur d'identité. Vous pouvez vous connecter à un fournisseur OIDC ou SAML existant.

Se connecter à un fournisseur OIDC existant

Pour vous connecter à un fournisseur OIDC existant, procédez comme suit :

Console

Connectez-vous à la console GDC. L'exemple suivant montre la console après la connexion à une organisation appelée org-1 :
Dans le menu de navigation, cliquez sur Identité et accès > Identité.
Cliquez sur Ajouter un fournisseur d'identité.
Dans la section Configurer le fournisseur d'identité, procédez comme suit :
1. Dans le menu déroulant Fournisseur d'identité, sélectionnez OpenID Connect (OIDC).
2. Saisissez un nom de fournisseur d'identité.
3. Dans le champ URI de l'émetteur, saisissez l'URL vers laquelle les requêtes d'autorisation sont envoyées à votre fournisseur d'identité. Le serveur d'API Kubernetes utilise cette URL pour découvrir les clés publiques permettant de valider les jetons. L'URL doit utiliser le protocole HTTPS.
4. Dans le champ ID client, saisissez l'ID de l'application cliente qui envoie des requêtes d'authentification au fournisseur d'identité.
5. Dans le champ Code secret du client, saisissez le code secret du client, qui est un code secret partagé entre votre fournisseur d'identité et Distributed Cloud.
6. Facultatif : Dans le champ Préfixe du fournisseur d'identité, saisissez un préfixe. Le préfixe est ajouté au début des revendications d'utilisateur et de groupe. Les préfixes permettent de distinguer les différentes configurations de fournisseur d'identité. Par exemple, si vous définissez un préfixe myidp, une revendication d'utilisateur peut être myid-pusername@example.com et une revendication de groupe peut être myid-pgroup@example.com. Vous devez également inclure le préfixe lors de l'attribution d'autorisations de contrôle des accès basé sur les rôles (RBAC) aux groupes.
  
  Remarque : Distributed Cloud n'insère pas de séparateur entre le préfixe et le nom du groupe. Insérez un séparateur tel que - ou : à la fin du préfixe pour améliorer la lisibilité. Sinon, prefix et kiran@example.com sont identifiés comme prefixkiran@example.com.
7. Facultatif : Dans la section Chiffrement, sélectionnez Activer les jetons de chiffrement.
  
  Pour activer les jetons de chiffrement, demandez à l'administrateur IAM de votre organisation de vous attribuer le rôle Administrateur de la fédération IdP (idp-federation-admin).
  1. Dans le champ ID de la clé, saisissez l'ID de votre clé. L'ID de clé identifie la clé publique d'un jeton JSON Web Encryption (JWE). Votre fournisseur OIDC configure et provisionne un ID de clé.
  2. Dans le champ Clé de déchiffrement, saisissez la clé de déchiffrement au format PEM. La clé de déchiffrement est une clé asymétrique utilisée pour déchiffrer les jetons. Votre fournisseur OIDC configure et provisionne une clé de déchiffrement.
8. Cliquez sur Suivant.
Dans la section Configurer les attributs, procédez comme suit :
1. Dans le champ Autorité de certification pour le fournisseur OIDC, saisissez un certificat encodé au format PEM en base64 pour le fournisseur d'identité. Pour en savoir plus, consultez Privacy-Enhanced Mail sur Wikipédia.
  1. Pour créer la chaîne, encodez le certificat, y compris les en-têtes, en base64.
  2. Incluez la chaîne obtenue en tant que ligne unique. Exemple : LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==
2. Dans le champ Revendication de groupe, saisissez le nom de la revendication dans le jeton du fournisseur d'identité qui contient les informations sur le groupe de l'utilisateur.
3. Dans le champ Revendication de l'utilisateur, saisissez la revendication permettant d'identifier chaque utilisateur. La revendication par défaut pour de nombreux fournisseurs est sub. Vous pouvez choisir d'autres revendications, telles que email ou name, en fonction du fournisseur d'identité. Les revendications autres que email sont précédées de l'URL de l'émetteur pour éviter les conflits de noms.
4. Facultatif : Dans la section Attributs personnalisés, cliquez sur Ajouter une paire et saisissez des paires clé-valeur pour ajouter des revendications concernant un utilisateur, comme son service ou l'URL de sa photo de profil.
5. Si votre fournisseur d'identité nécessite des niveaux d'accès supplémentaires, saisissez-les dans le champ Niveaux d'accès, en les séparant par une virgule, pour les envoyer au fournisseur d'identité.
6. Dans la section Paramètres supplémentaires, saisissez toutes les paires clé/valeur supplémentaires (séparées par une virgule) requises par votre fournisseur d'identité. Si vous autorisez un groupe, transmettez resource=token-groups-claim.
7. Cliquez sur Suivant.
Dans la section Spécifier les administrateurs initiaux, procédez comme suit :
1. Choisissez d'ajouter des utilisateurs individuels ou des groupes en tant qu'administrateurs initiaux.
2. Dans le champ Nom d'utilisateur ou alias de groupe, saisissez l'adresse e-mail de l'utilisateur ou du groupe pour accéder à l'organisation. Si vous êtes l'administrateur, saisissez votre adresse e-mail, par exemple kiran@example.com. Le préfixe est ajouté avant le nom d'utilisateur, par exemple myidp-kiran@example.com.
3. Cliquez sur Suivant.
Vérifiez vos sélections, puis cliquez sur Configurer.

Le nouveau profil de fournisseur d'identité est disponible dans la liste des profils d'identité.

API

Pour connecter votre fournisseur d'identité à votre organisation, créez la ressource personnalisée IdentityProviderConfig globale.

Créez un fichier YAML de ressource personnalisée IdentityProviderConfig, tel que pa-idp-oidc.yaml :
```
apiVersion: iam.global.gdc.goog/v1
kind: IdentityProviderConfig
metadata:
  name: pa-idp-oidc
  namespace: platform
spec:
  oidc:
    certificateAuthorityData: "IDP_BASE64_ENCODED_CERTIFICATE"
    clientID: IDP_CLIENT_ID
    clientSecret: IDP_CLIENT_SECRET
    groupPrefix: IDP_GROUP_PREFIX
    groupsClaim: IDP_GROUP_CLAIM
    issuerURI: IDP_ISSUER_URI
    scopes: openid email profile
    userClaim: IDP_USER_CLAIM
    userPrefix: IDP_USER_PREFIX
```
Remplacez les variables suivantes :
- IDP_BASE64_ENCODED_CERTIFICATE : certificat encodé en base64 pour le fournisseur d'identité.
- IDP_CLIENT_ID : ID client du fournisseur d'identité.
- IDP_CLIENT_SECRET : code secret du client pour l'IdP.
- IDP_GROUP_PREFIX : préfixe des groupes dans le fournisseur d'identité.
- IDP_GROUP_CLAIM : nom de la revendication dans le jeton IdP qui regroupe les informations.
- IDP_ISSUER_URI : URI de l'émetteur pour le fournisseur d'identité.
- IDP_USER_CLAIM : nom de la revendication dans le jeton IdP pour l'utilisateur.
- IDP_USER_PREFIX : préfixe du fournisseur d'identité de l'utilisateur.
Appliquez la ressource personnalisée IdentityProviderConfig au serveur d'API global :
```
kubectl --kubeconfig GLOBAL_API_SERVER_KUBECONFIG apply -f pa-idp-oidc.yaml
```
Remplacez la variable GLOBAL_API_SERVER_KUBECONFIG par le chemin d'accès au fichier kubeconfig du serveur d'API global.

Se connecter à un fournisseur SAML existant

Pour vous connecter à un fournisseur SAML existant, procédez comme suit :

Console

Connectez-vous à la console GDC. L'exemple suivant montre la console après la connexion à une organisation appelée org-1 :
Dans le menu de navigation, cliquez sur Identité et accès > Identité.
Cliquez sur Ajouter un fournisseur d'identité.
Dans la section Configurer le fournisseur d'identité, procédez comme suit :
1. Dans le menu déroulant Fournisseur d'identité, sélectionnez Security Assertion Markup Language (SAML).
2. Saisissez un nom de fournisseur d'identité.
3. Dans le champ ID d'identité, saisissez l'ID de l'application cliente qui envoie des requêtes d'authentification au fournisseur d'identité.
4. Dans le champ URI SSO, saisissez l'URL du point de terminaison d'authentification unique du fournisseur. Exemple : https://www.idp.com/saml/sso.
5. Dans le champ Préfixe du fournisseur d'identité, saisissez un préfixe. Le préfixe est ajouté au début des revendications d'utilisateur et de groupe. Les préfixes permettent de distinguer les différentes configurations de fournisseurs d'identité. Par exemple, si vous définissez un préfixe myidp, une revendication d'utilisateur peut s'afficher sous la forme myidp-username@example.com et une revendication de groupe sous la forme myidp-group@example.com. Vous devez également inclure le préfixe lors de l'attribution d'autorisations RBAC aux groupes.
  
  Remarque : Distributed Cloud n'insère pas de séparateur entre le préfixe et le nom du groupe. Insérez un séparateur tel que - ou : à la fin du préfixe pour améliorer la lisibilité. Sinon, prefix et kiran@example.com sont identifiés comme prefixkiran@example.com.
6. Pour renforcer la sécurité, configurez votre fournisseur SAML afin qu'il émette des assertions d'une durée de vie de cinq à dix minutes. Ce paramètre est configurable dans les paramètres de votre fournisseur SAML.
7. Facultatif : Dans la section Assertions SAML, sélectionnez Activer le chiffrement des assertions SAML.
  
  Pour activer les assertions SAML chiffrées, demandez à l'administrateur IAM de votre organisation de vous attribuer le rôle Administrateur de la fédération IdP (idp-federation-admin).
  1. Dans le champ Certificat d'assertion de chiffrement, saisissez votre certificat de chiffrement au format PEM. Vous obtenez votre certificat de chiffrement auprès de votre fournisseur SAML.
  2. Dans le champ Clé d'assertion de chiffrement, saisissez votre clé privée. Vous recevez votre clé de déchiffrement après avoir généré le fournisseur SAML.
8. Facultatif : Dans la section SAML Signed Requests (Requêtes SAML signées), sélectionnez Enable signed SAML requests (Activer les requêtes SAML signées).
  1. Dans le champ Signing certificate (Certificat de signature), saisissez votre certificat de signature au format PEM. Votre fournisseur SAML émet un certificat de signature.
  2. Dans le champ Clé de signature, saisissez votre clé de signature au format PEM. Votre fournisseur SAML configure et génère une clé de signature pour vous.
9. Cliquez sur Suivant.
Sur la page Configurer les attributs, procédez comme suit :
1. Dans le champ Certificat IdP, saisissez un certificat encodé au format PEM en base64 pour le fournisseur d'identité. Pour en savoir plus, consultez Privacy-Enhanced Mail sur Wikipédia.
  1. Pour créer la chaîne, encodez le certificat, y compris les en-têtes, en base64.
  2. Incluez la chaîne obtenue dans en tant que ligne unique. Par exemple : LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==.
2. Saisissez les certificats supplémentaires dans le champ Certificat IdP supplémentaire.
3. Dans le champ Attribut utilisateur, saisissez l'attribut permettant d'identifier chaque utilisateur. L'attribut par défaut de nombreux fournisseurs est sub. Vous pouvez choisir d'autres attributs, tels que email ou name, en fonction du fournisseur d'identité. Les attributs autres que email sont précédés de l'URL de l'émetteur pour éviter les conflits de noms.
4. Dans le champ Attribut de groupe, saisissez le nom de l'attribut du jeton du fournisseur d'identité qui contient les informations sur le groupe de l'utilisateur.
5. Facultatif : Dans la section Mappage des attributs, cliquez sur Ajouter une paire et saisissez des paires clé/valeur pour d'autres attributs concernant un utilisateur, comme son service ou l'URL de sa photo de profil.
6. Cliquez sur Suivant.
Dans la section Spécifier les administrateurs initiaux, procédez comme suit :
1. Choisissez d'ajouter des utilisateurs individuels ou des groupes en tant qu'administrateurs initiaux.
2. Dans le champ Nom d'utilisateur ou alias de groupe, saisissez l'adresse e-mail de l'utilisateur ou du groupe pour accéder à l'organisation. Si vous êtes l'administrateur, saisissez votre adresse e-mail, par exemple kiran@example.com. Le préfixe est ajouté avant le nom d'utilisateur, par exemple myidp-kiran@example.com.
3. Cliquez sur Suivant.
Sur la page Examiner, vérifiez toutes les valeurs de chaque configuration d'identité avant de continuer.

Cliquez sur Retour pour revenir aux pages précédentes et apporter les corrections nécessaires.
Cliquez sur Configurer.

Le nouveau profil de fournisseur d'identité est disponible dans la liste des profils d'identité.

API

Pour connecter votre fournisseur d'identité à votre organisation, créez la ressource personnalisée IdentityProviderConfig globale.

Créez un fichier YAML de ressource personnalisée IdentityProviderConfig, tel que pa-idp-saml.yaml :
```
apiVersion: iam.global.gdc.goog/v1
kind: IdentityProviderConfig
metadata:
  name: pa-idp-saml
  namespace: platform
spec:
  saml:
    groupPrefix: IDP_GROUP_PREFIX
    groupsAttribute: IDP_GROUP_ATTRIBUTE
    idpCertificateDataList:
    - "IDP_BASE64_ENCODED_CERTIFICATE"
    idpEntityID: IDP_SAML_ENTITY_ID
    idpSingleSignOnURI: IDP_SAML_SSO_URI
    userAttribute: IDP_USER_ATTRIBUTE
    userPrefix: IDP_USER_PREFIX
```
Remplacez les variables suivantes :
- IDP_GROUP_PREFIX : préfixe des groupes dans le fournisseur d'identité.
- IDP_GROUP_ATTRIBUTE : attribut des groupes dans le fournisseur d'identité.
- IDP_BASE64_ENCODED_CERTIFICATE : certificat encodé en base64 pour le fournisseur d'identité.
- IDP_SAML_ENTITY_ID : URL ou URI permettant d'identifier de manière unique le fournisseur d'identité.
- IDP_SAML_SSO_URI : URI de l'émetteur pour le fournisseur d'identité.
- IDP_USER_ATTRIBUTE : attribut de l'utilisateur IdP, tel qu'une adresse e-mail.
- IDP_USER_PREFIX : nom de la revendication dans le jeton IdP pour l'utilisateur.
Appliquez la ressource personnalisée IdentityProviderConfig au serveur d'API global :
```
kubectl --kubeconfig GLOBAL_API_SERVER_KUBECONFIG apply -f pa-idp-saml.yaml
```
Remplacez la variable GLOBAL_API_SERVER_KUBECONFIG par le chemin d'accès au fichier kubeconfig du serveur d'API global.

Supprimer un fournisseur d'identité existant

Supprimez un fournisseur d'identité existant à l'aide de la console GDC :

Connectez-vous à la console GDC.
Dans le sélecteur de projet, sélectionnez l'organisation dans laquelle vous souhaitez supprimer le fournisseur d'identité.
Dans le menu de navigation, cliquez sur Identité et accès > Identité.
Cochez la case à côté du nom d'un ou de plusieurs fournisseurs d'identité.

Un message s'affiche avec le nombre de fournisseurs d'identité que vous avez sélectionnés et un bouton Supprimer.
Cliquez sur Supprimer.