为 GKE Identity Service 配置 SAML 提供方
本文档适用于平台管理员或组织中管理身份设置的人员。本文档介绍如何为 GKE Identity Service 配置所选的安全断言标记语言 (SAML) 身份提供方。
向您的提供方注册 GKE Identity Service
如需为身份提供方注册 GKE Identity Service,您需要以下信息:
EntityID
- 这是表示提供方的 GKE Identity Service 的唯一标识符。它来源于 API 服务器的网址。例如,如果 APISERVER-URL 为https://cluster.company.com
,则EntityID
应为https://cluster.company.com:11001
。请注意,该网址没有尾随斜杠。AssertionConsumerServiceURL
- 这是 GKE Identity Service 上的回调网址。提供方对用户进行身份验证后,响应将转发到此网址。例如,如果 APISERVER-URL 为https://cluster.company.com
,则AssertionConsumerServiceURL
应为https://cluster.company.com:11001/saml-callback
。
提供商设置信息
本部分提供有关注册 GKE Identity Service 的其他特定于提供方的信息。 如果此处列出了您的提供方,请按照以下说明将 GKE Identity Service 作为客户端应用向您的提供方注册。
Azure AD
- 如果您尚未在 Azure Active Directory 上设置租户,请进行设置。
- 向 Microsoft Identity Platform 注册应用。
- 打开 Azure 门户中的应用注册页面,然后按名称选择您的应用。
- 在管理下,选择身份验证设置。
- 在平台配置下,选择企业应用。
- 在使用 SAML 设置单点登录中,修改基本 SAML 配置。
- 在标识符(实体 ID)部分下,选择添加标识符。
- 输入您在向您的提供方注册 GKE Identity Service 时获取的 EntityID 和回复网址
- 点击保存以保存这些设置。
- 查看属性和声明部分以添加任何新属性。
- 在 SAML 证书下,点击证书 (Base64) 以下载身份提供方证书。
- 在设置应用部分下,复制登录网址和 Azure AD 标识符。
分享提供商详细信息
注册提供方时,您必须与集群管理员共享以下信息。这些详细信息从提供方元数据获取,并且在使用 SAML 配置 GKE Identity Service 时是必需的。
idpEntityID
- 这是身份提供方的唯一标识符。它对应于提供方的网址,也称为 Azure AD 标识符。idpSingleSignOnURL
- 这是用于重定向用户以进行注册的端点,也称为“登录网址”。idpCertificateDataList
- 这是身份提供方用于 SAML 断言验证的公共证书。
后续步骤
集群管理员可以为各个集群或舰队设置 GKE Identity Service。