Panoramica di GKE Identity Service
GKE Identity Service è un servizio di autenticazione che si integra con le tue soluzioni di identità esistenti, consentendoti di utilizzare queste soluzioni di identità in più ambienti GKE Enterprise. Gli utenti possono accedere e gestire i cluster GKE dalla riga di comando o dalla console Google Cloud, il tutto utilizzando il tuo provider di identità esistente.
Se preferisci utilizzare gli ID Google per accedere ai cluster GKE anziché a un provider di identità, consulta Connettiti ai cluster registrati con il gateway Connect.
Provider di identità supportati
GKE Identity Service supporta i seguenti protocolli del provider di identità per verificare e autenticare gli utenti quando tentano di accedere a risorse o servizi:
- OpenID Connect (OIDC): OIDC è un protocollo di autenticazione moderno e leggero basato sul framework di autorizzazione OAuth 2.0. Forniamo istruzioni specifiche per la configurazione di alcuni provider OpenID Connect popolari, incluso Microsoft, ma puoi utilizzare qualsiasi provider che implementi OIDC.
- SAML (Security Assertion Markup Language): SAML è uno standard basato su XML per lo scambio di dati di autenticazione e autorizzazione tra le parti, principalmente tra un provider di identità (IdP) e un fornitore di servizi (SP). Puoi utilizzare il servizio di identità GKE per eseguire l'autenticazione tramite SAML.
- LDAP (Lightweight Directory Access Protocol): LDAP è un protocollo maturo standardizzato per accedere e gestire i servizi di informazioni sulle directory. Di solito viene utilizzato per archiviare e recuperare informazioni sugli utenti, come nomi utente, password e iscrizioni ai gruppi. Con GKE Identity Service puoi eseguire l'autenticazione tramite LDAP con Active Directory o un server LDAP.
Tipi di cluster supportati
| Protocollo | GKE su VMware | GKE su Bare Metal | GKE su AWS | GKE su Azure | Cluster collegati a EKS | GKE |
|---|---|---|---|---|---|---|
| OIDC | ||||||
| LDAP | ||||||
| SAML |
Gli altri tipi di cluster collegati non sono supportati per l'utilizzo con GKE Identity Service.
Procedura di configurazione
La configurazione di GKE Identity Service per i tuoi cluster prevede i seguenti utenti e passaggi del processo:
- Configura i provider: l'amministratore della piattaforma registra GKE Identity Service come applicazione client con il provider di identità preferito e riceve un ID client e un secret.
- Configura singoli cluster o configura il tuo parco risorse: l'amministratore del cluster configura i cluster per il tuo servizio di identità. Puoi configurare GKE Identity Service a livello di cluster per cluster GKE on-premise (sia VMware che bare metal), su AWS e Azure. In alternativa, puoi scegliere di configurare GKE Identity Service per un parco risorse, ovvero un gruppo logico di cluster che consente di abilitare le funzionalità e aggiornare la configurazione in tutti i cluster.
- Configura l'accesso degli utenti: l'amministratore del cluster configura l'accesso degli utenti per l'autenticazione ai cluster utilizzando l'approccio accesso al nome di dominio completo (consigliato) o accesso basato su file e, facoltativamente, configura il controllo controllo dell'accesso basato sui ruoli (RBAC) di Kubernetes per gli utenti su questi cluster.