Configura i provider SAML per GKE Identity Service

Questo documento è rivolto agli amministratori della piattaforma o a chi gestisce la configurazione delle identità nella tua organizzazione. Spiega come configurare il provider di identità Security Assertion Markup Language (SAML) scelto per il servizio GKE Identity.

Registra GKE Identity Service con il tuo provider

Per registrare GKE Identity Service per il provider di identità, devi disporre delle seguenti informazioni:

  • EntityID: si tratta di un identificatore univoco che rappresenta GKE Identity Service per il provider. Questo valore è ricavato dall'URL del server API. Ad esempio, se APISERVER-URL è https://cluster.company.com, EntityID deve essere https://cluster.company.com:11001. Tieni presente che l'URL non contiene barre finali.
  • AssertionConsumerServiceURL: si tratta dell'URL di callback su GKE Identity Service. La risposta viene inoltrata a questo URL dopo che il provider ha autenticato l'utente. Ad esempio, se APISERVER-URL è https://cluster.company.com, AssertionConsumerServiceURL deve essere https://cluster.company.com:11001/saml-callback.

Informazioni sulla configurazione del provider

Questa sezione fornisce informazioni aggiuntive specifiche del provider per la registrazione di GKE Identity Service. Se il tuo provider è elencato qui, registra GKE Identity Service come applicazione client seguendo le istruzioni riportate di seguito.

Azure AD

  1. Se non lo hai ancora fatto, configura un tenant in Azure Active Directory.
  2. Registra un'applicazione con Microsoft identity Platform.
  3. Apri la pagina Registrazioni app nel portale di Azure e seleziona la tua applicazione per nome.
  4. In Gestisci, seleziona le impostazioni di autenticazione.
  5. In Configurazioni della piattaforma, seleziona Applicazioni aziendali.
  6. In Configurare Single Sign-On con SAML, modifica la Configurazione SAML di base.
  7. Nella sezione Identificatore (ID entità), seleziona Aggiungi identificatore.
  8. Inserisci EntityID e Reply URL che hai ottenuto dalla registrazione di GKE Identity Service con il tuo provider
  9. Fai clic su Salva per salvare queste impostazioni.
  10. Esamina la sezione Attributi e rivendicazioni per aggiungere eventuali nuovi attributi.
  11. In SAML Certificates (Certificati SAML), fai clic su Certificate (Base64) (Certificato (Base64)) per scaricare il certificato del provider di identità.
  12. Nella sezione Configura app, copia l'URL di accesso e l'identificatore Azure AD.

Imposta la durata dell'affermazione SAML

Per una maggiore sicurezza, configura il tuo provider SAML in modo che emetta asserzioni con una durata breve, ad esempio 10 minuti. Questa impostazione è configurabile nelle impostazioni del fornitore SAML.

L'impostazione di una durata inferiore a 5 minuti potrebbe causare problemi di accesso se gli orologi tra GKE Identity Service e il tuo provider SAML non sono sincronizzati.

Condividere i dettagli del provider

Al momento della registrazione del fornitore, devi condividere le seguenti informazioni con l'amministratore del cluster. Questi dettagli vengono ottenuti dai metadati del provider e sono richiesti al momento della configurazione di GKE Identity Service con SAML.

  • idpEntityID: l'identificatore univoco del provider di identità. Corrisponde all'URL del provider ed è chiamato anche identificatore Azure AD.
  • idpSingleSignOnURL: questo è l'endpoint a cui viene reindirizzato l'utente per la registrazione. È chiamato anche URL di accesso.
  • idpCertificateDataList: si tratta del certificato pubblico utilizzato dal provider di identità per la verifica dell'asserzione SAML.

Passaggi successivi

L'amministratore del cluster può configurare GKE Identity Service per singoli cluster o un parco risorse.