Gestire l'identità con GKE Identity Service

Google Distributed Cloud supporta OpenID Connect (OIDC) e Lightweight Directory Access Protocol (LDAP) come meccanismi di autenticazione per interagire con il server API Kubernetes di un cluster utilizzando GKE Identity Service. GKE Identity Service è un servizio di autenticazione che ti consente di adottare le tue soluzioni di identità esistenti per l'autenticazione in più ambienti GKE Enterprise. Gli utenti possono accedere ai tuoi cluster GKE e utilizzarli dalla riga di comando (tutti i provider) o dalla console (solo OIDC), il tutto utilizzando il tuo provider di identità esistente.Google Cloud

GKE Identity Service funziona con qualsiasi tipo di cluster bare metal: amministratore, utente, ibrido o autonomo. Puoi utilizzare provider di identità sia on-premise che accessibili pubblicamente. Ad esempio, se la tua azienda utilizza un server Active Directory Federation Services (ADFS), questo potrebbe fungere da provider OpenID. Puoi anche utilizzare servizi di provider di identità accessibili pubblicamente come Okta. I certificati dei provider di identità possono essere emessi da un'autorità di certificazione (CA) pubblica ben nota o da un'autorità di certificazione privata.

Per una panoramica del funzionamento di GKE Identity Service, consulta Introduzione a GKE Identity Service.

Se utilizzi già o vuoi utilizzare gli ID Google per accedere ai tuoi cluster GKE invece di un provider OIDC o LDAP, ti consigliamo di utilizzare Connect Gateway per l'autenticazione. Scopri di più nella sezione Connessione ai cluster registrati con il gateway connect.

Prima di iniziare

• Per richiedere il consenso degli utenti e autorizzare il loro account utente, viene utilizzato un flusso di autenticazione basato sul browser. I sistemi headless non sono supportati.

• Per autenticarti tramite la Google Cloud console, ogni cluster che vuoi configurare deve essere registrato nel parco risorse del tuo progetto.

Procedura e opzioni di configurazione

GKE Identity Service supporta i provider di identità che utilizzano i seguenti protocolli:

• OpenID Connect (OIDC). Forniamo istruzioni specifiche per la configurazione di alcuni provider OpenID di uso comune, tra cui Microsoft, ma puoi utilizzare qualsiasi provider che implementa OIDC.

• Lightweight Directory Access Protocol (LDAP). Puoi utilizzare GKE Identity Service per autenticarti utilizzando LDAP con Active Directory o un server LDAP.

OIDC

1. Registra GKE Identity Service come client con il tuo provider OIDC seguendo le istruzioni riportate in Configurazione dei provider per GKE Identity Service.

2. Scegli una delle seguenti opzioni di configurazione del cluster:

   • Configura i cluster a livello di parco risorse seguendo le istruzioni riportate in Configurazione dei cluster per GKE Identity Service a livello di parco risorse (anteprima, Google Distributed Cloud versione 1.8 e successive). Con questa opzione, la configurazione dell'autenticazione è gestita centralmente da Google Cloud.

   • Configura i cluster singolarmente seguendo le istruzioni riportate in Configurazione dei cluster per GKE Identity Service con OIDC. Poiché la configurazione a livello di parco risorse è una funzionalità di anteprima, ti consigliamo di utilizzare questa opzione negli ambienti di produzione, se utilizzi una versione precedente di Google Distributed Cloud o se hai bisogno di funzionalità del servizio GKE Identity che non sono ancora supportate dalla gestione del ciclo di vita a livello di parco risorse.

3. Configura l'accesso utente ai tuoi cluster, incluso controllo dell'accesso basato su ruoli (RBAC), seguendo le istruzioni riportate in Configurare l'accesso utente per GKE Identity Service.

LDAP

Per iniziare a utilizzare LDAP, segui le istruzioni riportate in Configurare GKE Identity Service con LDAP.

Accedere ai cluster

Dopo aver configurato il servizio GKE Identity, gli utenti possono accedere ai cluster configurati utilizzando la riga di comando o la Google Cloud console.

• Scopri come accedere ai cluster registrati con il tuo ID OIDC o LDAP in Accedere ai cluster utilizzando GKE Identity Service.

• Scopri come accedere ai cluster dalla Google Cloud console in Lavora con i cluster dalla Google Cloud console (solo OIDC).

Risolvere i problemi relativi al flusso di accesso

Per risolvere i problemi relativi ai flussi di accesso che si autenticano direttamente sul server GKE Identity Service con un nome di dominio completo (FQDN), puoi utilizzare l'utilità di diagnostica GKE Identity Service. L'utilità di diagnostica simula i flussi di accesso con il tuo provider OIDC per identificare rapidamente i problemi di configurazione. Questo strumento richiede un cluster di versione 1.32 o successive e supporta solo OIDC. Per ulteriori informazioni, consulta l'utilità di diagnostica del servizio di identità GKE.