Mengonfigurasi penyedia SAML untuk Identity Service GKE

Dokumen ini ditujukan untuk administrator platform, atau siapa pun yang mengelola penyiapan identitas di organisasi Anda. Dokumen ini menjelaskan cara mengonfigurasi penyedia identitas Security Assertion Markup Language (SAML) yang Anda pilih untuk Layanan Identitas GKE.

Mendaftarkan GKE Identity Service dengan penyedia Anda

Untuk mendaftarkan GKE Identity Service ke penyedia identitas, Anda memerlukan informasi berikut:

  • EntityID - Ini adalah ID unik yang merepresentasikan GKE Identity Service untuk penyedia. Nilai ini berasal dari URL server API. Misalnya, jika APISERVER-URL adalah https://cluster.company.com, maka EntityID harus https://cluster.company.com:11001. Perhatikan bahwa URL tidak memiliki garis miring di bagian akhir.
  • AssertionConsumerServiceURL - Ini adalah URL callback di GKE Identity Service. Respons diteruskan ke URL ini setelah penyedia mengautentikasi pengguna. Misalnya, jika APISERVER-URL adalah https://cluster.company.com, maka AssertionConsumerServiceURL harus https://cluster.company.com:11001/saml-callback.

Informasi penyiapan penyedia

Bagian ini memberikan informasi tambahan khusus penyedia untuk mendaftarkan Layanan Identitas GKE. Jika penyedia Anda tercantum di sini, daftarkan Layanan Identitas GKE ke penyedia Anda sebagai aplikasi klien menggunakan petunjuk berikut.

Azure AD

  1. Jika Anda belum melakukannya, Siapkan tenant di Azure Active Directory.
  2. Daftarkan aplikasi dengan platform identitas Microsoft.
  3. Buka halaman App registrations di Azure Portal, lalu pilih aplikasi Anda berdasarkan nama.
  4. Di bagian Kelola, pilih setelan Autentikasi.
  5. Di bagian Platform Configurations, pilih Enterprise Applications.
  6. Di Set up Single Sign-On with SAML, edit Basic SAML Configuration.
  7. Di bagian Identifier (Entity ID), pilih Add Identifier.
  8. Masukkan EntityID dan Reply URL yang Anda dapatkan dari Mendaftarkan Layanan Identitas GKE dengan penyedia Anda
  9. Klik Simpan untuk menyimpan setelan ini.
  10. Tinjau bagian Atribut & Klaim untuk menambahkan atribut baru.
  11. Di bagian SAML Certificates, klik Certificate (Base64) untuk mendownload sertifikat penyedia identitas.
  12. Di bagian Siapkan aplikasi, salin URL Login dan ID Azure AD.

Menetapkan masa aktif pernyataan SAML

Untuk meningkatkan keamanan, konfigurasi penyedia SAML Anda agar mengeluarkan pernyataan dengan masa aktif yang singkat, seperti 10 menit. Setelan ini dapat dikonfigurasi dalam setelan penyedia SAML Anda.

Menetapkan masa aktif kurang dari 5 menit dapat menyebabkan masalah login jika jam antara Layanan Identitas GKE dan penyedia SAML Anda tidak disinkronkan.

Membagikan detail penyedia layanan

Pada saat mendaftarkan penyedia, Anda harus membagikan informasi berikut kepada administrator cluster. Detail ini diperoleh dari metadata penyedia dan diperlukan pada saat mengonfigurasi GKE Identity Service dengan SAML.

  • idpEntityID - Ini adalah ID unik untuk penyedia identitas. ID ini sesuai dengan URL penyedia dan juga disebut ID Azure AD.
  • idpSingleSignOnURL - Ini adalah endpoint tempat pengguna dialihkan untuk mendaftar. URL ini juga disebut URL Login.
  • idpCertificateDataList- Ini adalah sertifikat publik yang digunakan oleh penyedia identitas untuk verifikasi pernyataan SAML.

Langkah berikutnya

Administrator cluster Anda dapat menyiapkan GKE Identity Service untuk masing-masing cluster atau fleet.