GKE Identity Service adalah layanan autentikasi yang terintegrasi dengan solusi identitas yang sudah ada, sehingga Anda dapat menggunakan solusi identitas ini di beberapa lingkungan GKE. Pengguna dapat mengakses dan mengelola cluster GKE Anda dari command line atau dari konsol Google Cloud , semuanya menggunakan penyedia identitas Anda yang sudah ada.
Jika Anda lebih suka menggunakan ID Google untuk login ke cluster GKE, bukan penyedia identitas, lihat Menghubungkan ke cluster terdaftar dengan gateway Connect.
Penyedia identitas yang didukung
Layanan Identitas GKE mendukung protokol penyedia identitas berikut untuk memverifikasi dan mengautentikasi pengguna saat mereka mencoba mengakses resource atau layanan:
- OpenID Connect (OIDC): OIDC adalah protokol autentikasi modern dan ringan yang dibangun di atas framework otorisasi OAuth 2.0. Kami memberikan petunjuk khusus untuk penyiapan beberapa penyedia OpenID Connect populer, termasuk Microsoft, tetapi Anda dapat menggunakan penyedia mana pun yang menerapkan OIDC.
- Security Assertion Markup Language (SAML): SAML adalah standar berbasis XML untuk bertukar data autentikasi dan otorisasi antarpihak, terutama antara penyedia identitas (IdP) dan penyedia layanan (SP). Anda dapat menggunakan GKE Identity Service untuk melakukan autentikasi menggunakan SAML.
- Lightweight Directory Access Protocol (LDAP): LDAP adalah protokol standar yang matang untuk mengakses dan mengelola layanan informasi direktori. Cara ini biasanya digunakan untuk menyimpan dan mengambil informasi pengguna, seperti nama pengguna, sandi, dan keanggotaan grup. Anda dapat menggunakan GKE Identity Service untuk melakukan autentikasi menggunakan LDAP dengan Active Directory atau server LDAP.
Jenis cluster yang didukung
| Protokol | GDC (VMware) | GDC (bare metal) | GKE di AWS | GKE di Azure | Cluster terpasang EKS | GKE di Google Cloud |
|---|---|---|---|---|---|---|
| OIDC | ||||||
| LDAP | ||||||
| SAML |
Jenis cluster terlampir lainnya tidak didukung untuk digunakan dengan GKE Identity Service.
Proses penyiapan
Penyiapan GKE Identity Service untuk cluster Anda melibatkan pengguna dan langkah-langkah proses berikut:
- Mengonfigurasi penyedia: Administrator platform mendaftarkan GKE Identity Service sebagai aplikasi klien dengan penyedia identitas pilihan mereka dan mendapatkan ID klien dan secret.
- Menyiapkan masing-masing cluster atau menyiapkan fleet: Administrator cluster menyiapkan cluster untuk layanan identitas Anda. Anda dapat menyiapkan GKE Identity Service berdasarkan per cluster untuk cluster GKE di tempat (VMware dan bare metal), di AWS, dan di Azure. Atau, Anda dapat memilih untuk menyiapkan GKE Identity Service untuk fleet, yang merupakan grup cluster logis yang memungkinkan Anda mengaktifkan fungsi dan memperbarui konfigurasi di seluruh cluster ini.
- Menyiapkan akses pengguna: Administrator cluster menyiapkan akses login pengguna untuk mengautentikasi ke cluster menggunakan akses FQDN (direkomendasikan) atau pendekatan akses berbasis file, dan secara opsional mengonfigurasi kontrol akses berbasis peran (RBAC) Kubernetes untuk pengguna di cluster ini.