GKE Identity Service に SAML プロバイダを構成する

このドキュメントは、組織のプラットフォーム管理者または ID 設定の管理者を対象としています。選択した Security Assertion Markup Language(SAML) ID プロバイダを GKE Identity Service 用に構成する方法について説明します。

プロバイダに GKE Identity サービスを登録する

ID プロバイダに GKE Identity Service を登録するには、次の情報を用意する必要があります。

  • EntityID - プロバイダの GKE Identity Service を表す一意の識別子。これは API サーバーの URL から取得します。たとえば、APISERVER-URLhttps://cluster.company.com の場合、EntityIDhttps://cluster.company.com:11001 になります。URL の末尾にスラッシュはありません。
  • AssertionConsumerServiceURL - GKE Identity Service のコールバック URL。プロバイダがユーザーを認証した後、レスポンスがこの URL に転送されます。たとえば、APISERVER-URLhttps://cluster.company.com の場合、AssertionConsumerServiceURLhttps://cluster.company.com:11001/saml-callback になります。

プロバイダの設定情報

このセクションでは、GKE Identity Service の登録に関するプロバイダ固有の追加情報について説明します。プロバイダがここに一覧表示されている場合は、次の手順で、クライアント アプリケーションとしてプロバイダに GKE Identity Service を登録します。

Azure AD

  1. まだ行っていない場合は、Azure Active Directory にテナントを設定します。
  2. Microsoft Identity Platform にアプリケーションを登録します
  3. Azure Portal で [App registrations] ページを開き、アプリケーションの名前を選択します。
  4. [Manage] で [Authentication] 設定を選択します。
  5. [Platform Configurations] で [Enterprise Applications] を選択します。
  6. [Set up Single Sign-On with SAML] で、[Basic SAML Configuration] を編集します。
  7. [Identifier (Entity ID)] セクションで、[Add Identifier] を選択します。
  8. プロバイダへの GKE Identity サービスの登録で取得したエンティティ ID と応答 URL を入力します。
  9. [Save] をクリックして、これらの設定を保存します。
  10. [Attributes & Claims] セクションで、新しい属性を追加します。
  11. [SAML Certificates] で [Certificate (Base64)] をクリックして ID プロバイダの証明書をダウンロードします。
  12. [Set up app] セクションで、ログイン URL と Azure AD の識別子をコピーします。

プロバイダの詳細を共有する

プロバイダを登録する際に、クラスタ管理者と次の情報を共有する必要があります。これらの詳細は、プロバイダのメタデータから取得され、SAML で GKE Identity Service を構成するときに必要になります。

  • idpEntityID - ID プロバイダの一意の識別子。これはプロバイダの URL に対応し、Azure AD 識別子とも呼ばれます。
  • idpSingleSignOnURL - ユーザーが登録のためにリダイレクトされるエンドポイントです。これはログイン URL とも呼ばれます。
  • idpCertificateDataList - SAML アサーションの検証に ID プロバイダが使用する公開証明書。

次のステップ

クラスタ管理者は、個別のクラスタまたはフリートに対して GKE Identity Service を設定できます。