GKE Identity Service に SAML プロバイダを構成する
このドキュメントは、組織のプラットフォーム管理者または ID 設定の管理者を対象としています。選択した Security Assertion Markup Language(SAML) ID プロバイダを GKE Identity Service 用に構成する方法について説明します。
プロバイダに GKE Identity サービスを登録する
ID プロバイダに GKE Identity Service を登録するには、次の情報を用意する必要があります。
EntityID
- プロバイダの GKE Identity Service を表す一意の識別子。これは API サーバーの URL から取得します。たとえば、APISERVER-URL がhttps://cluster.company.com
の場合、EntityID
はhttps://cluster.company.com:11001
になります。URL の末尾にスラッシュはありません。AssertionConsumerServiceURL
- GKE Identity Service のコールバック URL。プロバイダがユーザーを認証した後、レスポンスがこの URL に転送されます。たとえば、APISERVER-URL がhttps://cluster.company.com
の場合、AssertionConsumerServiceURL
はhttps://cluster.company.com:11001/saml-callback
になります。
プロバイダの設定情報
このセクションでは、GKE Identity Service の登録に関するプロバイダ固有の追加情報について説明します。プロバイダがここに一覧表示されている場合は、次の手順で、クライアント アプリケーションとしてプロバイダに GKE Identity Service を登録します。
Azure AD
- まだ行っていない場合は、Azure Active Directory にテナントを設定します。
- Microsoft Identity Platform にアプリケーションを登録します。
- Azure Portal で [App registrations] ページを開き、アプリケーションの名前を選択します。
- [Manage] で [Authentication] 設定を選択します。
- [Platform Configurations] で [Enterprise Applications] を選択します。
- [Set up Single Sign-On with SAML] で、[Basic SAML Configuration] を編集します。
- [Identifier (Entity ID)] セクションで、[Add Identifier] を選択します。
- プロバイダへの GKE Identity サービスの登録で取得したエンティティ ID と応答 URL を入力します。
- [Save] をクリックして、これらの設定を保存します。
- [Attributes & Claims] セクションで、新しい属性を追加します。
- [SAML Certificates] で [Certificate (Base64)] をクリックして ID プロバイダの証明書をダウンロードします。
- [Set up app] セクションで、ログイン URL と Azure AD の識別子をコピーします。
プロバイダの詳細を共有する
プロバイダを登録する際に、クラスタ管理者と次の情報を共有する必要があります。これらの詳細は、プロバイダのメタデータから取得され、SAML で GKE Identity Service を構成するときに必要になります。
idpEntityID
- ID プロバイダの一意の識別子。これはプロバイダの URL に対応し、Azure AD 識別子とも呼ばれます。idpSingleSignOnURL
- ユーザーが登録のためにリダイレクトされるエンドポイントです。これはログイン URL とも呼ばれます。idpCertificateDataList
- SAML アサーションの検証に ID プロバイダが使用する公開証明書。
次のステップ
クラスタ管理者は、個別のクラスタまたはフリートに対して GKE Identity Service を設定できます。