SAML-Anbieter für GKE Identity Service konfigurieren

Dieses Dokument richtet sich an Plattformadministratoren bzw. an die Person, die die Identitätseinrichtung in Ihrer Organisation verwaltet. Darin wird erläutert, wie Sie den ausgewählten SAML-Identitätsanbieter (Security Assertion Markup Language) für GKE Identity Service konfigurieren.

Registrieren Sie GKE Identity Service bei Ihrem Anbieter

Zum Registrieren von GKE Identity Service für den Identitätsanbieter benötigen Sie die folgenden Informationen:

  • EntityID – Dies ist eine eindeutige Kennung, die den GKE Identity Service für den Anbieter darstellt. Dieser wird aus der URL des API-Servers abgeleitet. Wenn APISERVER-URL beispielsweise https://cluster.company.com ist, sollte EntityID https://cluster.company.com:11001 sein. Die URL enthält keine abschließenden Schrägstriche.
  • AssertionConsumerServiceURL – Dies ist die Callback-URL in GKE Identity Service. Die Antwort wird an diese URL weitergeleitet, nachdem der Anbieter den Nutzer authentifiziert hat. Wenn APISERVER-URL beispielsweise https://cluster.company.com ist, sollte AssertionConsumerServiceURL den Wert https://cluster.company.com:11001/saml-callback haben.

Informationen zur Einrichtung des Anbieters

Dieser Abschnitt enthält zusätzliche anbieterspezifische Informationen zur Registrierung von GKE Identity Service. Wenn Ihr Anbieter hier aufgeführt ist, registrieren Sie GKE Identity Service mithilfe der folgenden Anleitung als Clientanwendung bei Ihrem Anbieter.

Azure AD

  1. Richten Sie einen Mandanten in Azure Active Directory ein, falls Sie dies noch nicht getan haben.
  2. Registrieren Sie eine Anwendung bei der Microsoft-Identitätsplattform.
  3. Öffnen Sie die Seite App-Registrierungen im Azure-Portal und wählen Sie den Namen der Anwendung aus.
  4. Wählen Sie unter Verwalten die Authentifizierungseinstellungen aus.
  5. Wählen Sie unter Plattformkonfigurationen die Option Unternehmensanwendungen aus.
  6. Bearbeiten Sie im Abschnitt Einmalanmeldung (SSO) mit SAML einrichten die SAML-Basiskonfiguration.
  7. Wählen Sie im Bereich Kennung (Entitäts-ID) die Option Kennung hinzufügen aus.
  8. Geben Sie die EntityID und die Antwort-URL ein, die Sie von der Registrierung von GKE Identity Service bei Ihrem Anbieter abgeleitet haben.
  9. Klicken Sie auf Speichern, um die Einstellungen zu speichern.
  10. Prüfen Sie den Bereich Nutzerattribute und Ansprüche, um mögliche neue Attribute hinzuzufügen.
  11. Klicken Sie unter SAML-Zertifikate auf Zertifikat (Base64), um das Identitätsanbieterzertifikat herunterzuladen.
  12. Kopieren Sie im Abschnitt Anwendung einrichten die Log-in-URL und die Azure AD-Kennung.

Anbieterdetails teilen

Bei der Registrierung des Anbieters müssen Sie die folgenden Informationen an Ihren Clusteradministrator weitergeben. Diese Details werden aus den Anbietermetadaten abgerufen und sind bei der Konfiguration von GKE Identity Service mit SAML erforderlich.

  • idpEntityID – Dies ist die eindeutige Kennung für den Identitätsanbieter. Sie entspricht der URL des Anbieters und wird auch als Azure AD-Kennung bezeichnet.
  • idpSingleSignOnURL – Dies ist der Endpunkt, an den der Nutzer zur Registrierung weitergeleitet wird. Dieser wird auch als Log-in-URL bezeichnet.
  • idpCertificateDataList – Dies ist das öffentliche Zertifikat, das vom Identitätsanbieter für die Überprüfung der SAML-Assertion verwendet wird.

Nächste Schritte

Ihr Clusteradministrator kann GKE Identity Service für einzelne Cluster oder eine Flotte einrichten.