Configurer des fournisseurs SAML pour GKE Identity Service

Ce document explique comment configurer le fournisseur d'identité SAML (Security Assertion Markup Language) que vous avez choisi pour GKE Identity Service. Pour en savoir plus sur GKE Identity Service, consultez la présentation.

Ce document est destiné aux administrateurs de plate-forme ou à toute personne chargée de gérer la configuration des identités dans votre organisation. Si vous êtes administrateur de cluster ou opérateur d'application, vous ou votre administrateur de plate-forme devez suivre cette section avant de commencer à configurer des clusters pour GKE Identity Service avec LDAP.

Enregistrer GKE Identity Service auprès de votre fournisseur

Pour enregistrer GKE Identity Service pour le fournisseur d'identité, vous avez besoin des informations suivantes :

  • EntityID : il s'agit d'un identifiant unique qui représente le service GKE Identity Service pour le fournisseur. Il est dérivé de l'URL du serveur d'API. Par exemple, si l'URL du serveur d'API est https://cluster-server-url.com, le champ EntityID doit être https://cluster-server-url.com:8443. Notez que l'URL ne se termine pas par une barre oblique.
  • AssertionConsumerServiceURL : il s'agit de l'URL de rappel sur GKE Identity Service. La réponse est transmise à cette URL une fois que le fournisseur a authentifié l'utilisateur. Par exemple, si l'URL du serveur d'API est https://cluster-server-url.com, le champ AssertionConsumerServiceURL doit être https://cluster-server-url.com:8443/saml-callback.

Informations de configuration du fournisseur

Cette section fournit des informations supplémentaires spécifiques au fournisseur pour l'enregistrement de GKE Identity Service. Si votre fournisseur est listé ici, enregistrez GKE Identity Service auprès de votre fournisseur en tant qu'application cliente en suivant les instructions ci-dessous.

Azure AD

  1. Si vous ne l'avez pas déjà fait, configurez un locataire sur Azure Active Directory.
  2. Enregistrez une application avec la plate-forme Microsoft Identity.
  3. Ouvrez la page Enregistrements d'applications sur le portail Azure et sélectionnez votre application par nom.
  4. Sous Gérer, sélectionnez les paramètres d'authentification.
  5. Sous Configurations de plate-forme, sélectionnez Applications d'entreprise.
  6. Dans la section Configurer l'authentification unique avec SAML, modifiez la section Configuration SAML de base.
  7. Dans la section Identifiant (ID d'entité), sélectionnez Ajouter un identifiant.
  8. Saisissez l'EntityID et l'URL de réponse que vous avez obtenus lors de l'enregistrement de GKE Identity Service auprès de votre fournisseur.
  9. Cliquez sur Enregistrer pour enregistrer ces paramètres.
  10. Consultez la section Attributs et revendications pour ajouter de nouveaux attributs.
  11. Sous Certificats SAML, cliquez sur Certificat (en base64) pour télécharger le certificat du fournisseur d'identité.
  12. Sous-provisionnementConfigurer l'application copiez le contenu de l'URL de connexion et l'identifiant Azure AD.

Partager les détails du fournisseur

Au moment de l'enregistrement du fournisseur, vous devez partager les informations suivantes avec votre administrateur de cluster. Ces informations sont obtenues à partir des métadonnées du fournisseur et sont requises au moment de la configuration de GKE Identity Service avec SAML.

  • idpEntityID : identifiant unique du fournisseur d'identité. Il correspond à l'URL du fournisseur et est également appelé identifiant Azure AD.
  • idpSingleSignOnURL : point de terminaison vers lequel l'utilisateur est redirigé pour s'inscrire. On parle également d'URL de connexion.
  • idpCertificateDataList : certificat public utilisé par le fournisseur d'identité pour la validation des assertions SAML.