Este documento está dirigido a los administradores de plataformas responsables de configurar y gestionar la identidad en su organización. Si eres administrador de un clúster u operador de una aplicación, pide al administrador de tu plataforma que complete la configuración descrita aquí antes de configurar clústeres individuales o de usar la configuración de la flota.
Antes de empezar
Si quieres que los administradores del clúster proporcionen acceso de autenticación mediante el nombre de dominio completo (FQDN) del servidor de la API de Kubernetes del clúster (opción recomendada), haz lo siguiente. De lo contrario, puedes ir directamente a la sección sobre configurar tu proveedor de identidades. Puedes consultar más información sobre los métodos de autenticación de usuarios en el artículo Configurar un método de autenticación para el acceso de usuarios.
- Configura tu servicio de nombres de dominio (DNS) para que resuelva el nombre de dominio completo que hayas elegido en las IPs virtuales (direcciones IP virtuales) del plano de control del clúster. Los usuarios pueden acceder al clúster con este nombre de dominio.
- Usa un certificado de indicación de nombre de servidor (SNI) emitido por tu autoridad de certificación (CA) empresarial de confianza. Este certificado menciona específicamente su FQDN como un dominio válido, lo que elimina las posibles advertencias de certificado para los usuarios. Puedes proporcionar el certificado SNI durante la creación del clúster. Para obtener más información sobre cómo especificar certificados SNI, consulta Autenticación de certificados SNI.
- Si no es posible usar certificados SNI, los administradores del clúster deben configurar todos los dispositivos de los usuarios para que confíen en el certificado de la CA del clúster. De esta forma, se evitan las advertencias de certificado, pero es necesario distribuir el certificado de CA del clúster a todos los usuarios.
Para obtener más información sobre el acceso de inicio de sesión de los usuarios mediante estos certificados, consulta Autenticar mediante acceso FQDN.
Configurar el proveedor de identidades
La configuración de Identity Service de GKE depende del proveedor de identidades que elijas. Para empezar, elige el proveedor que quieras configurar: