Configura il provider di identità che preferisci
Questo documento è rivolto agli amministratori della piattaforma che sono responsabili della configurazione e della gestione dell'identità all'interno dell'organizzazione. Se sei un amministratore del cluster o un operatore di applicazioni, chiedi all'amministratore della piattaforma di completare la configurazione descritta qui prima di configurare i singoli cluster o utilizzare la configurazione del parco risorse.
Prima di iniziare
Se vuoi che gli amministratori del cluster forniscano l'accesso all'autenticazione utilizzando il nome di dominio completo (FQDN) del server API Kubernetes del cluster (opzione consigliata), procedi nel seguente modo. In caso contrario, puoi andare avanti e procedere con la configurazione del provider di identità. Per saperne di più sui metodi di autenticazione degli utenti, consulta Configurare un metodo di autenticazione per l'accesso utente.
- Configura il servizio DNS (Domain Name Service) in modo che risolva il nome di dominio completo scelto nei VIP (indirizzi IP virtuali) del piano di controllo del cluster. Gli utenti possono accedere al cluster utilizzando questo nome di dominio.
- Utilizza un certificato Server Name Indication (SNI) emesso dall'autorità di certificazione (CA) aziendale attendibile. Questo certificato menziona specificamente il tuo FQDN come dominio valido, eliminando i potenziali avvisi relativi al certificato per gli utenti. Puoi fornire il certificato SNI durante la creazione del cluster. Per ulteriori informazioni sulla specifica dei certificati SNI, vedi Autenticazione dei certificati SNI.
- Se i certificati SNI non sono possibili, gli amministratori del cluster devono configurare tutti i dispositivi degli utenti in modo che considerino attendibile il certificato CA del cluster. In questo modo vengono evitati gli avvisi relativi ai certificati, ma è necessario distribuire il certificato CA del cluster a tutti gli utenti.
Per ulteriori informazioni sull'accesso degli utenti tramite questi certificati, consulta Autenticazione mediante accesso FQDN.
Configura il provider di identità
La configurazione di GKE Identity Service dipende dal provider di identità scelto. Per iniziare, scegli il fornitore appropriato da configurare: