Mengonfigurasi penyedia SAML untuk GKE Identity Service

Dokumen ini ditujukan untuk administrator platform, atau siapa pun yang mengelola penyiapan identitas di organisasi Anda. Panduan ini menjelaskan cara mengonfigurasi penyedia identitas Security Assertion Markup Language (SAML) yang Anda pilih untuk GKE Identity Service.

Mendaftarkan GKE Identity Service dengan penyedia Anda

Guna mendaftarkan GKE Identity Service untuk penyedia identitas, Anda memerlukan informasi berikut:

  • EntityID - Ini adalah ID unik yang merepresentasikan GKE Identity Service untuk penyedia. Ini berasal dari URL server API. Misalnya, jika APISERVER-URL adalah https://cluster.company.com, maka EntityID harus https://cluster.company.com:11001. Perhatikan bahwa URL tidak memiliki garis miring di akhir.
  • AssertionConsumerServiceURL - Ini adalah URL callback di GKE Identity Service. Respons diteruskan ke URL ini setelah penyedia mengautentikasi pengguna. Misalnya, jika APISERVER-URL adalah https://cluster.company.com, maka AssertionConsumerServiceURL harus https://cluster.company.com:11001/saml-callback.

Informasi penyiapan penyedia

Bagian ini memberikan informasi tambahan khusus penyedia untuk mendaftarkan GKE Identity Service. Jika penyedia Anda tercantum di sini, daftarkan GKE Identity Service dengan penyedia Anda sebagai aplikasi klien menggunakan petunjuk berikut.

Azure AD

  1. Jika Anda belum melakukannya, Siapkan tenant di Azure Active Directory.
  2. Daftarkan aplikasi dengan platform identitas Microsoft.
  3. Buka halaman App Registrations di Azure Portal dan pilih aplikasi Anda berdasarkan nama.
  4. Di bagian Manage, pilih Authentication.
  5. Di bagian Platform Configurations, pilih Enterprise Applications.
  6. Pada Set up Single Sign-On with SAML, edit Basic SAML Configuration.
  7. Di bagian Identifier (Entity ID), pilih Add Identifier.
  8. Masukkan EntityID dan Reply URL yang Anda peroleh dari Mendaftarkan GKE Identity Service dengan penyedia Anda
  9. Klik Simpan untuk menyimpan setelan ini.
  10. Tinjau bagian Atribut & Klaim untuk menambahkan atribut baru.
  11. Pada bagian SAML Certificates, klik Certificate (Base64) untuk mendownload sertifikat penyedia identitas.
  12. Di bagian Siapkan aplikasi, salin URL Login dan ID Azure AD.

Bagikan detail penyedia

Pada saat mendaftarkan penyedia, Anda harus membagikan informasi berikut kepada administrator cluster. Detail ini diperoleh dari metadata penyedia dan diperlukan pada saat mengonfigurasi GKE Identity Service dengan SAML.

  • idpEntityID - Ini adalah ID unik untuk penyedia identitas. ID ini sesuai dengan URL penyedia dan juga disebut ID Azure AD.
  • idpSingleSignOnURL - Ini adalah endpoint tempat pengguna dialihkan untuk mendaftar. Bagian ini juga disebut URL Login.
  • idpCertificateDataList- Ini adalah sertifikat publik yang digunakan oleh penyedia identitas untuk verifikasi pernyataan SAML.

Langkah selanjutnya

Administrator cluster Anda dapat menyiapkan GKE Identity Service untuk cluster individual atau fleet.