Configurar proveedores SAML para Identity Service de GKE

Este documento está dirigido a los administradores de la plataforma o a cualquier persona que gestione la configuración de la identidad en tu organización. En este artículo se explica cómo configurar el proveedor de identidades de lenguaje de marcado para confirmaciones de seguridad (SAML) que elijas para Identity Service de GKE.

Registrar el servicio de identidad de GKE con tu proveedor

Para registrar GKE Identity Service en el proveedor de identidades, necesitas la siguiente información:

  • EntityID: es un identificador único que representa a Identity Service para GKE del proveedor. Se deriva de la URL del servidor de la API. Por ejemplo, si APISERVER-URL es https://cluster.company.com, EntityID debe ser https://cluster.company.com:11001. Ten en cuenta que la URL no tiene barras al final.
  • AssertionConsumerServiceURL: es la URL de retrollamada del servicio de identidad de GKE. La respuesta se reenvía a esta URL después de que el proveedor autentique al usuario. Por ejemplo, si APISERVER-URL es https://cluster.company.com, AssertionConsumerServiceURL debe ser https://cluster.company.com:11001/saml-callback.

Información de configuración del proveedor

En esta sección se proporciona información adicional específica del proveedor para registrar GKE Identity Service. Si tu proveedor aparece en esta lista, registra GKE Identity Service con tu proveedor como aplicación cliente siguiendo estas instrucciones.

Azure AD

  1. Si aún no lo has hecho, configura un inquilino en Azure Active Directory.
  2. Registra una aplicación en la plataforma de identidad de Microsoft.
  3. Abre la página Registros de aplicaciones en Azure Portal y selecciona tu aplicación por su nombre.
  4. En Gestionar, selecciona los ajustes de Autenticación.
  5. En Configuraciones de plataforma, selecciona Aplicaciones empresariales.
  6. En Set up Single Sign-On with SAML (Configurar el inicio de sesión único con SAML), edita Basic SAML Configuration (Configuración básica de SAML).
  7. En la sección Identifier (Entity ID) (Identificador [ID de entidad]), selecciona Add Identifier (Añadir identificador).
  8. Introduce los valores de EntityID y Reply URL que has obtenido en Registrar Identity Service para GKE con tu proveedor.
  9. Haz clic en Guardar para guardar estos ajustes.
  10. Revise la sección Atributos y reclamaciones para añadir atributos nuevos.
  11. En Certificados de SAML, haz clic en Certificado (Base64) para descargar el certificado del proveedor de identidades.
  12. En la sección Configurar aplicación, copia la URL de inicio de sesión y el identificador de Azure AD.

Definir la duración de la aserción SAML

Para mejorar la seguridad, configura tu proveedor de SAML para que emita aserciones con un periodo de validez breve, como 10 minutos. Este ajuste se puede configurar en los ajustes de tu proveedor de SAML.

Si el tiempo de vida es inferior a 5 minutos, pueden producirse problemas de inicio de sesión si los relojes de GKE Identity Service y tu proveedor de SAML no están sincronizados.

Compartir los detalles del proveedor

En el momento de registrar el proveedor, debes compartir la siguiente información con el administrador de tu clúster. Estos detalles se obtienen de los metadatos del proveedor y son necesarios al configurar GKE Identity Service con SAML.

  • idpEntityID: es el identificador único del proveedor de identidades. Se corresponde con la URL del proveedor y también se denomina identificador de Azure AD.
  • idpSingleSignOnURL: es el endpoint al que se redirige al usuario para registrarse. También se denomina URL de inicio de sesión.
  • idpCertificateDataList: es el certificado público que usa el proveedor de identidades para verificar la aserción de SAML.

Siguientes pasos

El administrador de tu clúster puede configurar GKE Identity Service para clústeres individuales o para una flota.