選択した ID プロバイダを構成する

このドキュメントは、組織内の ID の設定と管理を担当するプラットフォーム管理者向けのものです。クラスタ管理者またはアプリケーション オペレータの方においては、ここに記載されている設定の完了をプラットフォーム管理者に依頼してから、個々のクラスタを構成したり、フリート設定を使用したりしてください。

始める前に

クラスタ管理者にクラスタの Kubernetes API サーバーの完全修飾ドメイン名（FQDN）を使って認証アクセスを提供してもらう場合（推奨）は、以下の操作を行ってください。それ以外の場合は、ID プロバイダを構成するに進んでください。ユーザーの認証方法について詳しくは、ユーザー アクセスの認証方法の設定についてのページをご覧ください。

• 選択した完全修飾ドメイン名をクラスタのコントロール プレーンの VIP（仮想 IP アドレス）に解決するように、ドメイン名サービス（DNS）を構成します。ユーザーはこのドメイン名を使用してクラスタにアクセスできます。
• 信頼できる企業の認証局（CA）によって発行された Server Name Indication（SNI）証明書を使用します。この証明書には FQDN が有効なドメインとして明記されているため、証明書に関する警告がユーザーに表示されることはありません。SNI 証明書はクラスタの作成時に指定できます。SNI 証明書の指定について詳しくは、SNI 証明書による認証についてのページをご覧ください。
• SNI 証明書が使用できない場合、クラスタ管理者はすべてのユーザー デバイスがクラスタ CA 証明書を信頼するように構成する必要があります。このように構成することで証明書の警告は回避されますが、クラスタ CA 証明書をすべてのユーザーに配布する必要があります。

これらの証明書を使用したユーザー ログイン アクセスについて詳しくは、FQDN アクセスを使用して認証するをご覧ください。

ID プロバイダを構成する

GKE Identity Service の構成方法は、使用する ID プロバイダによって異なります。まず、構成するプロバイダを以下から選んでください。

• OIDC プロバイダを構成する
• SAML プロバイダを構成する
• LDAP プロバイダを構成する