Présentation de GKE Identity Service
GKE Identity Service est un service d'authentification qui s'intègre à vos solutions d'identité existantes, ce qui vous permet de les utiliser dans plusieurs environnements GKE Enterprise. Les utilisateurs peuvent accéder à vos clusters GKE depuis la ligne de commande ou depuis la console Google Cloud, en se servant de votre fournisseur d'identité existant.
Si vous préférez utiliser des ID Google pour vous connecter à vos clusters GKE plutôt qu'un fournisseur d'identité, consultez Se connecter à des clusters enregistrés avec la passerelle Connect.
Fournisseurs d'identité acceptés
GKE Identity Service accepte les protocoles de fournisseur d'identité suivants pour valider et authentifier les utilisateurs lorsqu'ils tentent d'accéder à des ressources ou à des services :
- OpenID Connect (OIDC) : OIDC est un protocole d'authentification moderne et léger basé sur le framework d'autorisation OAuth 2.0. Nous fournissons des instructions spécifiques pour la configuration de certains fournisseurs OpenID Connect populaires, y compris Microsoft, mais vous pouvez choisir n'importe quel fournisseur utilisant une mise en œuvre OIDC.
- Security Assertion Markup Language (SAML): SAML est une norme basée sur XML qui permet d'échanger des données d'authentification et d'autorisation entre des parties, principalement entre un fournisseur d'identité (IdP) et un fournisseur de services (SP). Vous pouvez utiliser GKE Identity Service pour vous authentifier à l'aide de SAML.
- LDAP (Lightweight Directory Access Protocol): il s'agit d'un protocole éprouvé et standardisé qui permet d'accéder aux services d'informations des annuaires et de les gérer. Il est couramment utilisé pour stocker et récupérer des informations utilisateur, telles que des noms d'utilisateur, des mots de passe et des adhésions à des groupes. Vous pouvez utiliser GKE Identity Service pour l'authentification à l'aide du protocole LDAP avec Active Directory ou un serveur LDAP.
Types de cluster compatibles
| Protocole | GKE sur VMware | GKE sur Bare Metal | GKE sur AWS | GKE sur Azure | Clusters associés à EKS | GKE |
|---|---|---|---|---|---|---|
| OIDC | ||||||
| LDAP | ||||||
| SAML |
Les autres types de clusters associés ne sont pas compatibles avec GKE Identity Service.
Processus de configuration
La configuration de GKE Identity Service pour vos clusters implique les étapes de processus et utilisateurs suivantes:
- Configurer des fournisseurs : L'administrateur de plate-forme enregistre GKE Identity Service en tant qu'application cliente auprès de son fournisseur d'identité de prédilection, et obtient en retour un ID client et un secret.
- Configurer des clusters individuels ou configurer votre parc : l'administrateur de cluster configure des clusters pour votre service d'identité. Vous pouvez configurer GKE Identity Service individuellement pour chaque cluster pour les clusters Anthos sur site (VMware et Bare Metal), sur AWS et sur Azure. Vous pouvez également choisir de configurer GKE Identity Service pour un parc, qui est un groupe logique de clusters qui vous permet d'activer les fonctionnalités et de mettre à jour la configuration sur ces clusters.
- Configurer l'accès des utilisateurs : l'administrateur de cluster configure l'accès de connexion des utilisateurs pour s'authentifier sur les clusters à l'aide de l'approche accès FQDN (recommandée) ou accès basé sur les fichiers, et configure éventuellement le contrôle des accès basé sur les rôles (RBAC) Kubernetes pour les utilisateurs de ces clusters.