Configura i provider SAML per GKE Identity Service

Questo documento spiega come configurare il provider di identità SAML (Security Assertion Markup Language) scelto per GKE Identity Service. Per saperne di più su GKE Identity Service, consulta la panoramica.

Questo documento è rivolto agli amministratori della piattaforma o a chiunque gestisca la configurazione delle identità nella tua organizzazione. Se sei un amministratore di cluster o un operatore di applicazioni, chiedi all'amministratore della piattaforma di seguire questa sezione prima di iniziare Configurare i cluster per GKE Identity Service con SAML.

Registra il servizio di identità GKE con il tuo provider

Per registrare GKE Identity Service per il provider di identità, sono necessarie le seguenti informazioni:

  • EntityID: è un identificatore univoco che rappresenta il servizio di identità GKE per il provider. Questo dato viene ricavato dall'URL del server API. Ad esempio, se l'URL del server API è https://cluster-server-url.com, EntityID deve essere https://cluster-server-url.com:8443. Tieni presente che l'URL non ha barre finali.
  • AssertionConsumerServiceURL: questo è l'URL di callback su GKE Identity Service. La risposta viene inoltrata a questo URL dopo che il provider ha autenticato l'utente. Ad esempio, se l'URL del server API è https://cluster-server-url.com, AssertionConsumerServiceURL deve essere https://cluster-server-url.com:8443/saml-callback.

Informazioni di configurazione del fornitore

Questa sezione fornisce informazioni aggiuntive specifiche del provider per la registrazione di GKE Identity Service. Se il tuo provider è elencato qui, registra GKE Identity Service con il tuo provider come applicazione client utilizzando le seguenti istruzioni.

Azure AD

  1. Se non lo hai già fatto, configura un tenant su Azure Active Directory.
  2. Registrare un'applicazione con Microsoft Identity Platform.
  3. Apri la pagina Registrazioni app sul Portale Azure e seleziona la tua applicazione per nome.
  4. In Manage (Gestisci), seleziona Authentication (Impostazioni di autenticazione).
  5. In Configurazioni della piattaforma, seleziona Applicazioni aziendali.
  6. In Set up Single Sign-On with SAML (Configura Single Sign-On con SAML), modifica la sezione Basic SAML Configuration (Configurazione SAML di base).
  7. Nella sezione Identificatore (ID entità), seleziona Aggiungi identificatore.
  8. Inserisci l'EntityID e l'EntityID ricavati dalla registrazione del servizio di identità GKE con il tuo provider.
  9. Fai clic su Salva per salvare queste impostazioni.
  10. Esamina la sezione Attributi e rivendicazioni per aggiungere nuovi attributi.
  11. In Certificati SAML, fai clic su Certificato (Base64) per scaricare il certificato del provider di identità.
  12. Nella sezione Configura app, copia l'URL di accesso e l'identificatore di Azure AD.

Condividi i dettagli del provider

Al momento della registrazione del provider, devi condividere le seguenti informazioni con l'amministratore del cluster. Questi dettagli sono ottenuti dai metadati del provider e sono obbligatori al momento della configurazione del servizio di identità GKE con SAML.

  • idpEntityID: l'identificatore univoco del provider di identità. Corrisponde all'URL del provider ed è anche chiamato identificatore di Azure AD.
  • idpSingleSignOnURL: si tratta dell'endpoint a cui l'utente viene reindirizzato per la registrazione. Questo URL viene chiamato anche URL di accesso.
  • idpCertificateDataList: questo è il certificato pubblico utilizzato dal provider di identità per la verifica delle asserzioni SAML.