GKE Identity Service 總覽

GKE Identity Service 是一項驗證服務，可與現有的身分識別解決方案整合，讓您在多個 GKE Enterprise 環境中使用這些身分識別解決方案。使用者可以透過現有的身分識別供應商，從指令列或 Google Cloud 控制台存取及管理 GKE 叢集。

如果您偏好使用 Google ID 登入 GKE 叢集，而非識別資訊提供者，請參閱「透過 Connect 閘道連線至已註冊的叢集」。

支援的識別資訊提供者

使用者嘗試存取資源或服務時，GKE Identity Service 支援下列身分識別提供者通訊協定，可驗證及驗證使用者：

• OpenID Connect (OIDC)：OIDC 是以 OAuth 2.0 授權架構為基礎建構的現代輕量型驗證通訊協定。我們提供部分熱門 OpenID Connect 提供者 (包括 Microsoft) 的設定具體操作說明，但您可以使用任何實作 OIDC 的提供者。
• 安全宣告標記語言 (SAML)：SAML 是一種以 XML 為基礎的標準，用於在各方之間交換驗證和授權資料，主要是在識別資訊提供者 (IdP) 和服務供應商 (SP) 之間交換。您可以使用 GKE Identity Service，透過 SAML 進行驗證。
• 輕量型目錄存取通訊協定 (LDAP)：LDAP 是成熟的標準化通訊協定，可存取及管理目錄資訊服務。這類伺服器通常用於儲存及擷取使用者資訊，例如使用者名稱、密碼和群組成員資格。您可以使用 GKE Identity Service，透過 LDAP 搭配 Active Directory 或 LDAP 伺服器進行驗證。

支援的叢集類型

通訊協定	GDC (VMware)	GDC (裸機)	GKE on AWS	GKE on Azure	EKS 附加叢集	GKE on Google Cloud
OIDC
LDAP
SAML

GKE Identity Service 不支援其他附加叢集類型。

設定程序

為叢集設定 GKE Identity Service 時，需要下列使用者和程序步驟：

1. 設定提供者：平台管理員會向偏好的身分識別提供者註冊 GKE Identity Service 做為用戶端應用程式，並取得用戶端 ID 和密鑰。
2. 設定個別叢集或設定機群：叢集管理員會為身分識別服務設定叢集。您可以為 AWS 和 Azure 上的 GKE 叢集，以及內部部署的 GKE 叢集 (VMware 和裸機) 逐一設定 GKE Identity Service。或者，您也可以選擇為機群設定 GKE Identity Service。機群是叢集的邏輯群組，可讓您在這些叢集中啟用功能及更新設定。
3. 設定使用者存取權： 叢集管理員會設定使用者登入存取權，以便透過完整網域名稱存取 (建議) 或檔案存取方式驗證叢集，並視需要為這些叢集的使用者設定 Kubernetes 角色型存取權控管 (RBAC)。