Configure fornecedores SAML para o GKE Identity Service

Este documento destina-se a administradores da plataforma ou a quem gere a configuração de identidade na sua organização. Explica como configurar o fornecedor de identidade da Linguagem de marcação de declarações de segurança (SAML) escolhido para o GKE Identity Service.

Registe o serviço de identidade do GKE junto do seu fornecedor

Para registar o GKE Identity Service para o fornecedor de identidade, precisa das seguintes informações:

  • EntityID: este é um identificador exclusivo que representa o serviço de identidade do GKE para o fornecedor. Isto é derivado do URL do servidor da API. Por exemplo, se o APISERVER-URL for https://cluster.company.com, o EntityID deve ser https://cluster.company.com:11001. Tenha em atenção que o URL não tem barras à direita.
  • AssertionConsumerServiceURL - Este é o URL de retorno no serviço de identidade do GKE. A resposta é encaminhada para este URL depois de o fornecedor autenticar o utilizador. Por exemplo, se o APISERVER-URL for https://cluster.company.com, o AssertionConsumerServiceURL deve ser https://cluster.company.com:11001/saml-callback.

Informações de configuração do fornecedor

Esta secção fornece informações adicionais específicas do fornecedor para registar o serviço de identidade do GKE. Se o seu fornecedor estiver listado aqui, registe o serviço de identidade do GKE junto do seu fornecedor como uma aplicação cliente através das seguintes instruções.

Azure AD

  1. Se ainda não o fez, configure um inquilino no Azure Active Directory.
  2. Registe uma aplicação na plataforma de identidade da Microsoft.
  3. Abra a página Registos de apps no portal do Azure e selecione a sua aplicação pelo nome.
  4. Em Gerir, selecione as definições de Autenticação.
  5. Em Configurações da plataforma, selecione Aplicações empresariais.
  6. Em Configurar Início de sessão único com SAML, edite a Configuração SAML básica.
  7. Na secção Identificador (ID da entidade), selecione Adicionar identificador.
  8. Introduza o EntityID e o URL de resposta que derivou do artigo Registar o serviço de identidade do GKE junto do seu fornecedor
  9. Clique em Guardar para guardar estas definições.
  10. Reveja a secção Atributos e reivindicações para adicionar novos atributos.
  11. Em Certificados SAML, clique em Certificado (Base64) para transferir o certificado do fornecedor de identidade.
  12. Na secção Configurar app, copie o URL de início de sessão e o identificador do Azure AD.

Defina a duração da afirmação SAML

Para maior segurança, configure o seu fornecedor SAML para emitir declarações com um período de validade curto, como 10 minutos. Esta definição é configurável nas definições do seu fornecedor de SAML.

Definir o tempo de vida para menos de 5 minutos pode causar problemas de início de sessão se os relógios entre o serviço de identidade do GKE e o seu fornecedor SAML não estiverem sincronizados.

Partilhe os detalhes do fornecedor

No momento do registo do fornecedor, tem de partilhar as seguintes informações com o administrador do cluster. Estes detalhes são obtidos a partir dos metadados do fornecedor e são necessários no momento da configuração do GKE Identity Service com SAML.

  • idpEntityID - Este é o identificador exclusivo do fornecedor de identidade. Corresponde ao URL do fornecedor e também é denominado identificador do Azure AD.
  • idpSingleSignOnURL: este é o ponto final para o qual o utilizador é redirecionado para se inscrever. Também se denomina URL de início de sessão.
  • idpCertificateDataList: este é o certificado público usado pelo fornecedor de identidade para a validação da declaração SAML.

O que se segue?

O administrador do cluster pode configurar o serviço de identidade do GKE para clusters individuais ou uma frota.