GKE Identity Service è un servizio di autenticazione che si integra con le tue soluzioni di identità esistenti, consentendoti di utilizzarle in più ambienti GKE. Gli utenti possono accedere e gestire i tuoi cluster GKE dalla riga di comando o dalla console Google Cloud , utilizzando il tuo provider di identità esistente.
Se preferisci utilizzare gli ID Google per accedere ai tuoi cluster GKE anziché un provider di identità, consulta Connettersi ai cluster registrati con il gateway Connect.
Provider di identità supportati
GKE Identity Service supporta i seguenti protocolli del provider di identità per verificare e autenticare gli utenti quando tentano di accedere a risorse o servizi:
- OpenID Connect (OIDC): OIDC è un protocollo di autenticazione moderno e leggero basato sul framework di autorizzazione OAuth 2.0. Forniamo istruzioni specifiche per la configurazione di alcuni provider OpenID Connect popolari, tra cui Microsoft, ma puoi utilizzare qualsiasi provider che implementi OIDC.
- Security Assertion Markup Language (SAML): SAML è uno standard basato su XML per lo scambio di dati di autenticazione e autorizzazione tra le parti, principalmente tra un provider di identità (IdP) e un fornitore di servizi (SP). Puoi utilizzare GKE Identity Service per l'autenticazione tramite SAML.
- Lightweight Directory Access Protocol (LDAP): LDAP è un protocollo standardizzato e consolidato per accedere ai servizi di informazioni della directory e gestirli. Viene comunemente utilizzato per archiviare e recuperare informazioni sugli utenti, come nomi utente, password e appartenenze a gruppi. Puoi utilizzare GKE Identity Service per autenticarti utilizzando LDAP con Active Directory o un server LDAP.
Tipi di cluster supportati
| Protocollo | GDC (VMware) | GDC (bare metal) | GKE su AWS | GKE su Azure | Cluster collegati a EKS | GKE su Google Cloud |
|---|---|---|---|---|---|---|
| OIDC | ||||||
| LDAP | ||||||
| SAML |
Altri tipi di cluster collegati non sono supportati per l'utilizzo con GKE Identity Service.
Procedura di configurazione
La configurazione di GKE Identity Service per i tuoi cluster prevede i seguenti utenti e passaggi della procedura:
- Configura i provider: L'amministratore della piattaforma registra GKE Identity Service come applicazione client con il provider di identità preferito e ottiene un ID client e un secret.
- Configura singoli cluster o configura il tuo parco risorse: l'amministratore del cluster configura i cluster per il tuo servizio di identità. Puoi configurare GKE Identity Service cluster per cluster per i cluster GKE on-premise (sia VMware che bare metal), su AWS e su Azure. In alternativa, puoi scegliere di configurare GKE Identity Service per un parco risorse, ovvero un gruppo logico di cluster che ti consente di abilitare funzionalità e aggiornare la configurazione in questi cluster.
- Configura l'accesso utente: L'amministratore del cluster configura l'accesso di accesso utente per l'autenticazione ai cluster utilizzando l'accesso FQDN (consigliato) o l'accesso basato su file e, facoltativamente, configura il controllo dell'controllo dell'accesso basato sui ruoli (RBAC) di Kubernetes per gli utenti di questi cluster.