SAML-Anbieter für GKE Identity Service konfigurieren

In diesem Dokument wird erläutert, wie Sie den ausgewählten SAML-Identitätsanbieter (Security Assertion Markup Language) für GKE Identity Service konfigurieren. Weitere Informationen zu GKE Identity Service finden Sie in der Übersicht.

Dieses Dokument richtet sich an Plattformadministratoren bzw. an die Person, die die Identitätseinrichtung in Ihrer Organisation verwaltet. Wenn Sie Clusteradministrator oder Anwendungsoperator sind, bitten Sie Ihren Plattformadministrator, diesen Abschnitt zu befolgen, bevor Sie mit dem Konfigurieren von Clustern für GKE Identity Service mit SAML beginnen.

Registrieren Sie GKE Identity Service bei Ihrem Anbieter

Zum Registrieren von GKE Identity Service für den Identitätsanbieter benötigen Sie die folgenden Informationen:

  • EntityID – Dies ist eine eindeutige Kennung, die den GKE Identity Service für den Anbieter darstellt. Diese wird von der URL des API-Servers abgeleitet. Wenn die URL des API-Servers beispielsweise https://cluster-server-url.com lautet, sollte EntityID https://cluster-server-url.com:8443 lauten. Beachten Sie, dass die URL keine abschließenden Schrägstriche enthält.
  • AssertionConsumerServiceURL – Dies ist die Callback-URL in GKE Identity Service. Die Antwort wird an diese URL weitergeleitet, nachdem der Anbieter den Nutzer authentifiziert hat. Wenn die URL des API-Servers beispielsweise https://cluster-server-url.com lautet, sollte AssertionConsumerServiceURL https://cluster-server-url.com:8443/saml-callback lauten.

Informationen zur Einrichtung des Anbieters

Dieser Abschnitt enthält zusätzliche anbieterspezifische Informationen zur Registrierung von GKE Identity Service. Wenn Ihr Anbieter hier aufgeführt ist, registrieren Sie GKE Identity Service mithilfe der folgenden Anleitung als Clientanwendung bei Ihrem Anbieter.

Azure AD

  1. Richten Sie einen Mandanten in Azure Active Directory ein, falls Sie dies noch nicht getan haben.
  2. Registrieren Sie eine Anwendung bei der Microsoft-Identitätsplattform.
  3. Öffnen Sie die Seite App-Registrierungen im Azure-Portal und wählen Sie den Namen der Anwendung aus.
  4. Wählen Sie unter Verwalten die Authentifizierungseinstellungen aus.
  5. Wählen Sie unter Plattformkonfigurationen die Option Unternehmensanwendungen aus.
  6. Bearbeiten Sie im Abschnitt Einmalanmeldung (SSO) mit SAML einrichten die SAML-Basiskonfiguration.
  7. Wählen Sie im Bereich Kennung (Entitäts-ID) die Option Kennung hinzufügen aus.
  8. Geben Sie die EntityID und die Antwort-URL ein, die Sie von der Registrierung von GKE Identity Service bei Ihrem Anbieter abgeleitet haben.
  9. Klicken Sie auf Speichern, um die Einstellungen zu speichern.
  10. Prüfen Sie den Bereich Nutzerattribute und Ansprüche, um mögliche neue Attribute hinzuzufügen.
  11. Klicken Sie unter SAML-Zertifikate auf Zertifikat (Base64), um das Identitätsanbieterzertifikat herunterzuladen.
  12. Kopieren Sie im Abschnitt Anwendung einrichten die Log-in-URL und die Azure AD-Kennung.

Anbieterdetails teilen

Bei der Registrierung des Anbieters müssen Sie die folgenden Informationen an Ihren Clusteradministrator weitergeben. Diese Details werden aus den Anbietermetadaten abgerufen und sind bei der Konfiguration von GKE Identity Service mit SAML erforderlich.

  • idpEntityID – Dies ist die eindeutige Kennung für den Identitätsanbieter. Sie entspricht der URL des Anbieters und wird auch als Azure AD-Kennung bezeichnet.
  • idpSingleSignOnURL – Dies ist der Endpunkt, an den der Nutzer zur Registrierung weitergeleitet wird. Dieser wird auch als Log-in-URL bezeichnet.
  • idpCertificateDataList – Dies ist das öffentliche Zertifikat, das vom Identitätsanbieter für die Überprüfung der SAML-Assertion verwendet wird.