配置所选的身份提供方

本文档适用于负责设置和管理组织内身份的平台管理员。如果您是集群管理员或应用运维人员，请先让您的平台管理员完成本文中所述的设置，然后再配置各个集群或使用舰队设置。

准备工作

如果您希望集群管理员使用集群 Kubernetes API 服务器的完全限定域名 (FQDN) 提供身份验证访问权限（推荐），请执行以下操作。否则，您可以跳过此部分，直接前往配置身份提供方。如需详细了解用户身份验证方法，请参阅为用户访问权限设置身份验证方法。

配置您的域名服务 (DNS)，以将您选择的完全限定域名解析为集群的控制平面 VIP（虚拟 IP 地址）。用户可以使用此域名访问集群。
使用由受信任的企业证书授权机构 (CA) 颁发的服务器名称指示 (SNI) 证书。此证书会明确将您的 FQDN 列为有效网域，从而消除用户可能遇到的证书警告。您可以在创建集群期间提供 SNI 证书。如需详细了解如何指定 SNI 证书，请参阅 SNI 证书身份验证。
如果 SNI 证书不可行，集群管理员需要将所有用户设备配置为信任集群 CA 证书。这样可以避免出现证书警告，但需要将集群 CA 证书分发给所有用户。

如要详细了解使用这些证书的用户登录访问权限，请参阅使用 FQDN 访问权限进行身份验证。

GKE Identity Service 的配置取决于您选择使用的身份提供方。首先，请选择要配置的适当提供方：