Configurar o provedor de identidade de sua preferência

Este documento é para administradores de plataforma responsáveis por configurar e gerenciar identidades na sua organização. Se você for administrador de cluster ou operador de aplicativo, peça ao administrador da plataforma para concluir a configuração descrita aqui antes de configurar clusters individuais ou usar a configuração da frota.

Antes de começar

Se você quiser que os administradores de cluster forneçam acesso de autenticação usando o nome de domínio totalmente qualificado (FQDN, na sigla em inglês) do servidor da API Kubernetes do cluster (recomendado), faça o seguinte. Caso contrário, prossiga para a configuração do seu provedor de identidade. Saiba mais sobre os métodos de autenticação do usuário em Configurar um método de autenticação para acesso do usuário.

  • Configure o serviço de nome de domínio (DNS, na sigla em inglês) para resolver o nome de domínio totalmente qualificado escolhido para os VIPs (endereços IP virtuais) do plano de controle do cluster. Os usuários podem acessar o cluster usando esse nome de domínio.
  • Use um certificado de indicação de nome do servidor (SNI) emitido pela autoridade de certificação (CA) confiável da empresa. Este certificado menciona especificamente seu FQDN como um domínio válido, eliminando possíveis avisos de certificado para os usuários. Você pode fornecer o certificado SNI durante a criação do cluster. Para mais informações sobre como especificar certificados SNI, consulte Autenticação de certificados SNI.
  • Se os certificados SNI não forem viáveis, os administradores de cluster precisarão configurar todos os dispositivos do usuário para confiar no certificado de CA do cluster. Isso evita avisos de certificado, mas exige a distribuição do certificado de CA do cluster para todos os usuários.

Para mais informações sobre o acesso de login do usuário usando esses certificados, consulte Autenticar usando acesso FQDN.

Configurar o provedor de identidade

A configuração do serviço de identidade do GKE depende do provedor que você escolhe usar. Para começar, escolha o provedor apropriado que você quer configurar: