Configura i provider SAML per GKE Identity Service

Questo documento è rivolto agli amministratori di piattaforma o a chiunque gestisca la configurazione delle identità nella tua organizzazione. Spiega come configurare il provider di identità SAML (Security Assertion Markup Language) scelto per GKE Identity Service.

Registra il servizio di identità GKE con il tuo provider

Per registrare il servizio di identità GKE per il provider di identità, sono necessarie le seguenti informazioni:

  • EntityID: si tratta di un identificatore univoco che rappresenta il servizio di identità GKE per il provider. Deriva dall'URL del server API. Ad esempio, se APISERVER-URL è https://cluster.company.com, EntityID dovrebbe essere https://cluster.company.com:11001. Tieni presente che l'URL non contiene barre finali.
  • AssertionConsumerServiceURL - Questo è l'URL di callback sul servizio di identità GKE. La risposta viene inoltrata a questo URL dopo che il provider autentica l'utente. Ad esempio, se APISERVER-URL è https://cluster.company.com, AssertionConsumerServiceURL dovrebbe essere https://cluster.company.com:11001/saml-callback.

Informazioni di configurazione del fornitore

Questa sezione fornisce informazioni aggiuntive specifiche per il provider per la registrazione di GKE Identity Service. Se il tuo provider è elencato qui, registra GKE Identity Service con il provider come applicazione client utilizzando le seguenti istruzioni.

Azure AD

  1. Se non lo hai già fatto, configura un tenant su Azure Active Directory.
  2. Registra un'applicazione con la piattaforma di identità Microsoft.
  3. Apri la pagina Registrazioni app sul Portale Azure e seleziona la tua applicazione per nome.
  4. In Gestisci, seleziona le impostazioni Autenticazione.
  5. In Configurazioni della piattaforma, seleziona Applicazioni aziendali.
  6. In Configura Single Sign-On con SAML, modifica la Configurazione SAML di base.
  7. Nella sezione Identificatore (ID entità), seleziona Aggiungi identificatore.
  8. Inserisci l'EntityID e l'EntityID ricavati dalla registrazione del servizio di identità GKE con il tuo provider.
  9. Fai clic su Salva per salvare queste impostazioni.
  10. Esamina la sezione Attributi e rivendicazioni per aggiungere nuovi attributi.
  11. In SAML Certificates (Certificati SAML), fai clic su Certificate (Base64) (Certificato (Base64)) per scaricare il certificato del provider di identità.
  12. Nella sezione Configura app, copia l'URL di accesso e l'identificatore di Azure AD.

Condividi i dettagli del provider

Al momento della registrazione del provider, devi condividere le informazioni seguenti con l'amministratore del cluster. Questi dettagli sono ricavati dai metadati del provider e sono obbligatori al momento della configurazione di GKE Identity Service con SAML.

  • idpEntityID: l'identificatore univoco del provider di identità. Corrisponde all'URL del provider ed è chiamato anche identificatore AD Azure.
  • idpSingleSignOnURL: l'endpoint a cui l'utente viene reindirizzato per la registrazione. È chiamato anche URL di accesso.
  • idpCertificateDataList- Si tratta del certificato pubblico utilizzato dal provider di identità per la verifica dell'asserzione SAML.

Passaggi successivi

L'amministratore del cluster può configurare GKE Identity Service per singoli cluster o un parco risorse.