GKE Identity Service용 SAML 공급업체 구성

이 문서는 플랫폼 관리자나 조직의 ID 설정을 관리하는 사용자를 대상으로 합니다. 선택한 보안 보장 마크업 언어(SAML) ID 공급업체를 GKE Identity Service에 구성하는 방법을 설명합니다.

공급업체에 GKE Identity Service 등록

ID 공급업체에 GKE Identity Service를 등록하려면 다음 정보가 필요합니다.

  • EntityID - 공급업체의 GKE Identity Service를 나타내는 고유 식별자입니다. 이는 API 서버의 URL에서 파생됩니다. 예를 들어 APISERVER-URLhttps://cluster.company.com이면 EntityIDhttps://cluster.company.com:11001이어야 합니다. URL에는 후행 슬래시가 없습니다.
  • AssertionConsumerServiceURL - GKE Identity Service의 콜백 URL입니다. 공급업체에서 사용자를 인증하면 응답이 이 URL로 전달됩니다. 예를 들어 APISERVER-URLhttps://cluster.company.com이면 AssertionConsumerServiceURLhttps://cluster.company.com:11001/saml-callback이어야 합니다.

제공업체 설정 정보

이 섹션에서는 GKE Identity Service를 등록할 수 있도록 추가 공급업체별 정보를 제공합니다. 공급업체가 여기에 나와 있는 경우 다음 안내에 따라 공급업체에 GKE Identity Service를 클라이언트 애플리케이션으로 등록합니다.

Azure AD

  1. 아직 수행하지 않았으면 Azure Active Directory에서 테넌트를 설정합니다.
  2. Microsoft ID 플랫폼에 애플리케이션 등록을 수행합니다.
  3. Azure Portal에서 앱 등록 페이지를 열고 애플리케이션 이름을 선택합니다.
  4. 관리에서 인증 설정을 선택합니다.
  5. 플랫폼 구성에서 엔터프라이즈 애플리케이션을 선택합니다.
  6. SAML로 싱글 사인온(SSO) 설정에서 기본 SAML 구성을 수정합니다.
  7. 식별자(항목 ID) 섹션에서 식별자 추가를 선택합니다.
  8. 공급업체에 GKE Identity Service 등록에서 파생된 EntityIDEntityID을 입력합니다.
  9. 저장을 클릭하여 설정을 저장합니다.
  10. 속성 및 클레임 섹션을 검토하여 새 속성을 추가합니다.
  11. SAML 인증서에서 인증서(Base64)를 클릭하여 ID 공급업체 인증서를 다운로드합니다.
  12. 앱 설정 섹션에서 로그인 URLAzure AD 식별자를 복사합니다.

공급업체 세부정보 공유

공급업체를 등록할 때 다음 정보를 클러스터 관리자와 공유해야 합니다. 이러한 세부정보는 공급업체 메타데이터에서 가져오며 SAML로 GKE Identity Service를 구성할 때 필요합니다.

  • idpEntityID - ID 공급업체의 고유 식별자입니다. 이는 공급업체의 URL에 해당하며 Azure AD 식별자라고도 합니다.
  • idpSingleSignOnURL - 사용자가 가입을 위해 리디렉션되는 엔드포인트입니다. 이를 로그인 URL이라고도 합니다.
  • idpCertificateDataList - SAML 어설션 확인을 위해 ID 공급업체에서 사용하는 공개 인증서입니다.

다음 단계

클러스터 관리자는 개별 클러스터 또는 Fleet에 GKE Identity Service를 설정할 수 있습니다.