Este documento destina-se aos administradores da plataforma responsáveis pela configuração e gestão da identidade na sua organização. Se for um administrador do cluster ou um operador da aplicação, peça ao administrador da plataforma para concluir a configuração descrita aqui antes de configurar clusters individuais ou usar a configuração da frota.
Antes de começar
Se quiser que os administradores do cluster forneçam acesso de autenticação através do nome de domínio totalmente qualificado (FQDN) do servidor da API Kubernetes do cluster (recomendado), faça o seguinte. Caso contrário, pode avançar para a configuração do seu fornecedor de identidade. Pode saber mais acerca dos métodos de autenticação de utilizadores no artigo Configure um método de autenticação para o acesso de utilizadores.
- Configure o seu serviço de nomes de domínio (DNS) para resolver o nome do domínio totalmente qualificado escolhido para os VIPs (endereços IP virtuais) do plano de controlo do cluster. Os utilizadores podem aceder ao cluster através deste nome de domínio.
- Use um certificado de indicação do nome do servidor (SNI) emitido pela sua autoridade de certificação (CA) empresarial fidedigna. Este certificado menciona especificamente o seu FQDN como um domínio válido, eliminando potenciais avisos de certificado para os utilizadores. Pode fornecer o certificado SNI durante a criação do cluster. Para mais informações sobre a especificação de certificados SNI, consulte o artigo Autenticação de certificados SNI.
- Se os certificados SNI não forem viáveis, os administradores do cluster têm de configurar todos os dispositivos dos utilizadores para confiarem no certificado da AC do cluster. Isto evita avisos de certificado, mas requer a distribuição do certificado da AC do cluster a todos os utilizadores.
Para mais informações sobre o acesso de início de sessão do utilizador através destes certificados, consulte o artigo Autentique através do acesso FQDN.
Configure o Fornecedor de identidade
A configuração do GKE Identity Service depende do fornecedor de identidade que optar por usar. Para começar, escolha o fornecedor adequado que quer configurar: