Configura i provider SAML per GKE Identity Service

Questo documento è rivolto agli amministratori di piattaforma o a chiunque gestisca la configurazione delle identità nella tua organizzazione. Spiega come configurare il provider di identità SAML (Security Assertion Markup Language) scelto per GKE Identity Service.

Registra il servizio di identità GKE con il tuo provider

Per registrare il servizio di identità GKE per il provider di identità, sono necessarie le seguenti informazioni:

  • EntityID: si tratta di un identificatore univoco che rappresenta GKE Identity Service per il provider. Questo valore è ricavato dall'URL del server API. Ad esempio, se APISERVER-URL è https://cluster.company.com, EntityID deve essere https://cluster.company.com:11001. Tieni presente che l'URL non contiene barre finali.
  • AssertionConsumerServiceURL: si tratta dell'URL di callback su GKE Identity Service. La risposta viene inoltrata a questo URL dopo che il provider autentica l'utente. Ad esempio, se APISERVER-URL è https://cluster.company.com, AssertionConsumerServiceURL deve essere https://cluster.company.com:11001/saml-callback.

Informazioni sulla configurazione del provider

Questa sezione fornisce informazioni aggiuntive specifiche del provider per la registrazione di GKE Identity Service. Se il tuo provider è elencato qui, registra GKE Identity Service come applicazione client seguendo le istruzioni riportate di seguito.

Azure AD

  1. Se non lo hai già fatto, configura un tenant su Azure Active Directory.
  2. Registra un'applicazione con la piattaforma di identità Microsoft.
  3. Apri la pagina Registrazioni app sul Portale Azure e seleziona la tua applicazione per nome.
  4. In Gestisci, seleziona le impostazioni di autenticazione.
  5. In Configurazioni della piattaforma, seleziona Applicazioni aziendali.
  6. In Configurare il Single Sign-On con SAML, modifica la Configurazione SAML di base.
  7. Nella sezione Identificatore (ID entità), seleziona Aggiungi identificatore.
  8. Inserisci l'ID entità e l'URL di risposta ricavati dalla registrazione del servizio di identità GKE con il tuo provider.
  9. Fai clic su Salva per salvare queste impostazioni.
  10. Esamina la sezione Attributi e rivendicazioni per aggiungere eventuali nuovi attributi.
  11. In SAML Certificates (Certificati SAML), fai clic su Certificate (Base64) (Certificato (Base64)) per scaricare il certificato del provider di identità.
  12. Nella sezione Configura app, copia l'URL di accesso e l'identificatore Azure AD.

Condividere i dettagli del provider

Al momento della registrazione del provider, devi condividere le informazioni seguenti con l'amministratore del cluster. Questi dettagli sono ottenuti dai metadati del provider e sono obbligatori al momento della configurazione di GKE Identity Service con SAML.

  • idpEntityID: l'identificatore univoco del provider di identità. Corrisponde all'URL del provider ed è chiamato anche identificatore Azure AD.
  • idpSingleSignOnURL: l'endpoint a cui l'utente viene reindirizzato per la registrazione. È chiamato anche URL di accesso.
  • idpCertificateDataList: si tratta del certificato pubblico utilizzato dal provider di identità per la verifica dell'asserzione SAML.

Passaggi successivi

L'amministratore del cluster può configurare GKE Identity Service per singoli cluster o un parco risorse.