Gérer l'identité avec GKE Identity Service

Google Distributed Cloud est compatible avec OpenID Connect (OIDC) et le protocole LDAP (Lightweight Directory Access Protocol), qui constituent des mécanismes d'authentification permettant d'interagir avec le serveur d'API Kubernetes d'un cluster à l'aide de GKE Identity Service. GKE Identity Service est un service d'authentification qui vous permet d'exploiter vos solutions existantes pour l'authentification dans plusieurs environnements GKE Enterprise. Les utilisateurs peuvent se connecter à vos clusters GKE depuis la ligne de commande (tous les fournisseurs) ou depuis la consoleGoogle Cloud (OIDC uniquement), en se servant tous de votre fournisseur d'identité existant.

GKE Identity Service fonctionne avec n'importe quel type de cluster Bare Metal : administrateur, utilisateur, hybride ou autonome. Vous pouvez utiliser des fournisseurs d'identité sur site et des fournisseurs d'identité accessibles publiquement. Si par exemple votre entreprise exécute un serveur ADFS (Active Directory Federation Services), celui-ci peut servir de fournisseur OpenID. Vous pouvez également utiliser des services de fournisseurs d'identité accessibles publiquement, tels que Okta. Les certificats du fournisseur d'identité peuvent être émis par une autorité de certification publique bien connue ou par une autorité de certification privée.

Pour en savoir plus sur le fonctionnement de GKE Identity Service, consultez Présentation de GKE Identity Service.

Si vous utilisez ou souhaitez utiliser des ID Google pour vous connecter à vos clusters GKE, plutôt que de passer par un fournisseur OIDC ou LDAP, nous vous recommandons d'utiliser la passerelle Connect pour l'authentification. Pour en savoir plus, consultez la section Se connecter à des clusters enregistrés avec la passerelle Connect.

Avant de commencer

• Un processus d'authentification basé sur navigateur est utilisé pour inviter les utilisateurs à donner leur autorisation et autoriser leur compte utilisateur. Les systèmes headless ne sont pas compatibles.

• Pour vous authentifier via la console Google Cloud , chaque cluster que vous souhaitez configurer doit être enregistré dans le parc de votre projet.

Processus de configuration et options associées

GKE Identity Service accepte les fournisseurs d'identité qui utilisent les protocoles suivants :

• OpenID Connect (OIDC). Nous fournissons des instructions spécifiques pour la configuration de certains fournisseurs OpenID populaires, y compris Microsoft, mais vous pouvez choisir n'importe quel fournisseur utilisant une mise en œuvre OIDC.

• Protocole LDAP (Lightweight Directory Access Protocol) Vous pouvez utiliser GKE Identity Service pour l'authentification à l'aide du protocole LDAP avec Active Directory ou un serveur LDAP.

OIDC

1. Enregistrez GKE Identity Service en tant que client auprès de votre fournisseur OIDC en suivant les instructions de la section Configurer des fournisseurs pour GKE Identity Service.

2. Choisissez l'une des options de configuration de cluster suivantes :

   • Configurez vos clusters au niveau du parc en suivant les instructions de la section Configurer des clusters pour GKE Identity Service au niveau du parc (preview, Google Distributed Cloud version 1.8 et ultérieure). Avec cette option, votre configuration d'authentification est gérée de manière centralisée par Google Cloud.

   • Configurez les clusters individuellement en suivant les instructions de la page Configurer des clusters pour GKE Identity Service avec OIDC. La configuration au niveau du parc étant une fonctionnalité bêta, vous pouvez utiliser cette option dans les environnements de production, si vous utilisez une version antérieure de Google Distributed Cloud ou si vous avez besoin de fonctionnalités GKE Identity Service qui ne sont pas encore compatibles avec la gestion du cycle de vie au niveau du parc.

3. Configurez l'accès des utilisateurs à vos clusters, y compris le contrôle des accès basé sur les rôles (RBAC), en suivant les instructions de la page Configurer l'accès des utilisateurs pour GKE Identity Service.

LDAP

Pour commencer à utiliser LDAP, suivez les instructions de la page Configurer GKE Identity Service avec LDAP.

Accéder aux clusters

Après avoir configuré GKE Identity Service, les utilisateurs peuvent se connecter à des clusters configurés à l'aide de la ligne de commande ou de la console Google Cloud .

• Pour découvrir comment vous connecter aux clusters enregistrés avec votre ID OIDC ou LDAP, consultez la page Accéder aux clusters à l'aide de GKE Identity Service.

• Pour découvrir comment vous connecter à des clusters depuis la console Google Cloud , consultez Utiliser des clusters depuis la consoleGoogle Cloud (OIDC uniquement).

Résoudre les problèmes liés au parcours de connexion

Pour résoudre les problèmes liés aux flux de connexion qui s'authentifient directement sur le serveur GKE Identity Service à l'aide d'un nom de domaine complet (FQDN), vous pouvez utiliser l'utilitaire de diagnostic GKE Identity Service. L'utilitaire de diagnostic simule les flux de connexion avec votre fournisseur OIDC pour identifier rapidement les problèmes de configuration. Cet outil nécessite un cluster version 1.32 ou ultérieure et n'est compatible qu'avec OIDC. Pour en savoir plus, consultez l'utilitaire de diagnostic GKE Identity Service.