Identitätsanbieter Ihrer Wahl konfigurieren

Dieses Dokument richtet sich an Plattformadministratoren, die für das Einrichten und Verwalten der Identität innerhalb Ihrer Organisation verantwortlich sind. Wenn Sie ein Clusteradministrator oder Anwendungsoperator sind, bitten Sie Ihren Plattformadministrator, die hier beschriebene Einrichtung abzuschließen, bevor Sie einzelne Cluster konfigurieren oder die Flotteneinrichtung verwenden.

Hinweise

Wenn Clusteradministratoren den Authentifizierungszugriff über den voll qualifizierten Domainnamen (FQDN) des Kubernetes API-Servers des Clusters bereitstellen sollen (empfohlen), gehen Sie so vor: Andernfalls können Sie mit dem Konfigurieren Ihres Identitätsanbieters fortfahren. Weitere Informationen zu Nutzerauthentifizierungsmethoden finden Sie unter Authentifizierungsmethode für den Nutzerzugriff einrichten.

• Konfigurieren Sie Ihren Domain Name Service (DNS) so, dass der ausgewählte voll qualifizierte Domainname in die VIPs (virtuellen IP-Adressen) der Steuerungsebene des Clusters aufgelöst wird. Nutzer können über diesen Domainnamen auf den Cluster zugreifen.
• Verwenden Sie ein SNI-Zertifikat (Server Name Indication), das von Ihrer vertrauenswürdigen Unternehmenszertifizierungsstelle (CA, Certificate Authority) ausgestellt wurde. In diesem Zertifikat wird Ihr FQDN als gültige Domain erwähnt, wodurch potenzielle Zertifikatswarnungen für Nutzer ausgeschlossen werden. Sie können das SNI-Zertifikat während der Clustererstellung bereitstellen. Weitere Informationen zum Angeben von SNI-Zertifikaten finden Sie unter Authentifizierung von SNI-Zertifikaten.
• Können keine SNI-Zertifikate verwendet werden, müssen die Clusteradministratoren alle Nutzergeräte so konfigurieren, dass sie dem Cluster-CA-Zertifikat vertrauen. Dadurch werden zwar Zertifikatwarnungen vermieden, aber das Cluster-CA-Zertifikat muss an alle Nutzer verteilt werden.

Weitere Informationen zum Nutzeranmeldungszugriff mithilfe dieser Zertifikate finden Sie unter Mit FQDN-Zugriff authentifizieren.

Identitätsanbieter konfigurieren

Die Konfiguration von GKE Identity Service hängt vom Identitätsanbieter ab, den Sie verwenden. Wählen Sie zuerst einen geeigneten Anbieter aus, den Sie konfigurieren möchten:

• OIDC-Anbieter konfigurieren
• SAML-Anbieter konfigurieren
• LDAP-Anbieter konfigurieren