Configura i provider SAML per GKE Identity Service

Questo documento è rivolto agli amministratori della piattaforma o a chiunque gestisca la configurazione dell'identità nella tua organizzazione. Spiega come configurare il provider di identità Security Assertion Markup Language (SAML) scelto per GKE Identity Service.

Registra GKE Identity Service con il tuo provider

Per registrare GKE Identity Service per il provider di identità, devi disporre delle seguenti informazioni:

  • EntityID: è un identificatore univoco che rappresenta GKE Identity Service per il provider. Questo valore deriva dall'URL del server API. Ad esempio, se APISERVER-URL è https://cluster.company.com, EntityID deve essere https://cluster.company.com:11001. Tieni presente che l'URL non ha barre finali.
  • AssertionConsumerServiceURL: questo è l'URL di callback nel servizio di identità GKE. La risposta viene inoltrata a questo URL dopo che il provider ha autenticato l'utente. Ad esempio, se APISERVER-URL è https://cluster.company.com, AssertionConsumerServiceURL deve essere https://cluster.company.com:11001/saml-callback.

Informazioni di configurazione del provider

Questa sezione fornisce ulteriori informazioni specifiche del fornitore per la registrazione di GKE Identity Service. Se il tuo provider è elencato qui, registra GKE Identity Service con il tuo provider come applicazione client seguendo le istruzioni riportate di seguito.

Azure AD

  1. Se non l'hai ancora fatto, configura un tenant su Azure Active Directory.
  2. Registra un'applicazione con Microsoft identity Platform.
  3. Apri la pagina Registrazioni app nel portale Azure e seleziona la tua applicazione per nome.
  4. Nella sezione Gestisci, seleziona le impostazioni di autenticazione.
  5. In Configurazioni della piattaforma, seleziona Applicazioni aziendali.
  6. In Configura Single Sign-On con SAML, modifica la Configurazione SAML di base.
  7. Nella sezione Identifier (Entity ID) (Identificatore (ID entità)), seleziona Add Identifier (Aggiungi identificatore).
  8. Inserisci EntityID e URL di risposta derivati dalla registrazione di GKE Identity Service con il tuo provider.
  9. Fai clic su Salva per salvare queste impostazioni.
  10. Esamina la sezione Attributi e rivendicazioni per aggiungere nuovi attributi.
  11. In Certificati SAML, fai clic su Certificato (Base64) per scaricare il certificato del provider di identità.
  12. Nella sezione Configura app, copia l'URL di accesso e l'identificatore Azure AD.

Imposta la durata dell'asserzione SAML

Per una maggiore sicurezza, configura il tuo provider SAML in modo che emetta asserzioni con una durata breve, ad esempio 10 minuti. Questa impostazione è configurabile nelle impostazioni del provider SAML.

Se imposti la durata su un valore inferiore a 5 minuti, potrebbero verificarsi problemi di accesso se gli orologi tra GKE Identity Service e il tuo provider SAML non sono sincronizzati.

Condividere i dettagli del fornitore

Al momento della registrazione del fornitore, devi condividere le seguenti informazioni con l'amministratore del cluster. Questi dettagli vengono ottenuti dai metadati del provider e sono necessari al momento della configurazione di GKE Identity Service con SAML.

  • idpEntityID: l'identificatore univoco del provider di identità. Corrisponde all'URL del fornitore ed è chiamato anche identificatore Azure AD.
  • idpSingleSignOnURL: questo è l'endpoint a cui l'utente viene reindirizzato per la registrazione. Questo è anche chiamato URL di accesso.
  • idpCertificateDataList: questo è il certificato pubblico utilizzato dal provider di identità per la verifica dell'asserzione SAML.

Passaggi successivi

L'amministratore del cluster può configurare GKE Identity Service per cluster singoli o per un parco risorse.