Configura il provider LDAP per GKE Identity Service

Questo documento è rivolto agli amministratori della piattaforma o a chi gestisce la configurazione delle identità nella tua organizzazione. Spiega come configurare l'identity provider Lightweight Directory Access Protocol (LDAP) scelto per GKE Identity Service.

Il servizio GKE Identity con LDAP può essere utilizzato solo con Google Distributed Cloud e Google Distributed Cloud.

Prima di iniziare

Durante la configurazione, potresti dover consultare la documentazione del tuo server LDAP. Le seguenti guide per gli amministratori spiegano la configurazione di alcuni provider LDAP comuni, incluso dove trovare le informazioni necessarie per accedere al server LDAP:

Ottenere i dati di accesso LDAP

GKE Identity Service ha bisogno di un segreto dell'account di servizio per autenticarsi al server LDAP e recuperare i dettagli dell'utente. Esistono due tipi di account di servizio consentiti nell'autenticazione LDAP: autenticazione di base (con nome utente e password per l'autenticazione al server) o certificato client (con chiave privata e certificato client). Per scoprire quale tipo è supportato nel tuo server LDAP specifico, consulta la relativa documentazione. In genere, Google LDAP supporta solo un certificato client come account di servizio. OpenLDAP, Microsoft Active Directory e Azure AD supportano solo l'autenticazione di base in modo nativo.

Le istruzioni riportate di seguito mostrano come creare un client e ottenere i dati di accesso al server LDAP per alcuni provider di uso comune. Per altri fornitori LDAP, consulta la documentazione dell'amministratore del server.

Azure AD/Active Directory

  1. Segui le istruzioni dell'interfaccia utente per creare un nuovo account utente.
  2. Salva il nome distinto (DN) e la password dell'utente completi per utilizzarli in un secondo momento.

Google LDAP

  1. Assicurati di aver eseguito l'accesso al tuo account Google Workspace o Cloud Identity all'indirizzo accounts.google.com.
  2. Accedi alla Console di amministrazione Google con l'account.
  3. Seleziona App - LDAP dal menu a sinistra.
  4. Fai clic su Aggiungi cliente.
  5. Aggiungi il nome e la descrizione del cliente che hai scelto e fai clic su Continua.
  6. Nella sezione Autorizzazioni di accesso, assicurati che il client disponga delle autorizzazioni appropriate per leggere la tua directory e accedere alle informazioni utente.
  7. Scarica il certificato client e completa la creazione del client. Se scarichi il certificato, viene scaricata anche la chiave corrispondente.

  8. Esegui i comandi seguenti nella directory pertinente per codificare in base64 il certificato e la chiave, sostituendo i nomi dei file del certificato e della chiave scaricati:

    cat CERTIFICATE_FILENAME.crt | base64
cat KEY_FILENAME.key | base64

  9. Salva il certificato e le stringhe di chiavi criptati per utilizzarli in un secondo momento.

OpenLDAP

  1. Utilizza il comando ldapadd per aggiungere una nuova voce dell'account di servizio alla directory. Assicurati che l'account abbia l'autorizzazione per leggere la directory e accedere alle informazioni utente.
  2. Salva il nome distinto (DN) e la password dell'utente completi per utilizzarli in un secondo momento.

Passaggi successivi

L'amministratore del cluster può configurare GKE Identity Service per singoli cluster o un parco risorse.