O serviço de identidade do GKE é um serviço de autenticação que se integra com as suas soluções de identidade existentes, o que lhe permite usar estas soluções de identidade em vários ambientes do GKE. Os utilizadores podem aceder e gerir os seus clusters do GKE a partir da linha de comandos ou da Google Cloud consola, tudo através do seu fornecedor de identidade existente.
Se preferir usar IDs Google para iniciar sessão nos seus clusters do GKE em vez de um fornecedor de identidade, consulte o artigo Estabeleça ligação a clusters registados com o gateway Connect.
Fornecedores de identidade suportados
O GKE Identity Service suporta os seguintes protocolos de fornecedor de identidade para validar e autenticar os utilizadores quando tentam aceder a recursos ou serviços:
- OpenID Connect (OIDC): o OIDC é um protocolo de autenticação moderno e simples criado com base na estrutura de autorização OAuth 2.0. Fornecemos instruções específicas para a configuração de alguns fornecedores populares do OpenID Connect, incluindo a Microsoft, mas pode usar qualquer fornecedor que implemente o OIDC.
- Linguagem de marcação de declaração de segurança (SAML): o SAML é uma norma baseada em XML para trocar dados de autenticação e autorização entre partes, principalmente entre um fornecedor de identidade (IdP) e um fornecedor de serviços (SP). Pode usar o serviço de identidade do GKE para autenticar através de SAML.
- Protocolo LDAP (Lightweight Directory Access Protocol): o LDAP é um protocolo padronizado e desenvolvido para aceder e gerir serviços de informações de diretório. É comummente usado para armazenar e obter informações do utilizador, como nomes de utilizador, palavras-passe e associações a grupos. Pode usar o serviço de identidade do GKE para autenticar através do LDAP com o Active Directory ou um servidor LDAP.
Tipos de clusters suportados
| Protocolo | GDC (VMware) | GDC (bare metal) | GKE no AWS | GKE no Azure | Clusters anexados do EKS | GKE no Google Cloud |
|---|---|---|---|---|---|---|
| OIDC | ||||||
| LDAP | ||||||
| SAML |
Outros tipos de clusters anexados não são suportados para utilização com o GKE Identity Service.
Processo de configuração
A configuração do GKE Identity Service para os seus clusters envolve os seguintes utilizadores e passos do processo:
- Configurar fornecedores: O administrador da plataforma regista o GKE Identity Service como uma aplicação cliente com o respetivo fornecedor de identidade preferencial e recebe um ID de cliente e um segredo.
- Configure clusters individuais ou configure a sua frota: O administrador do cluster configura clusters para o seu serviço de identidade. Pode configurar o GKE Identity Service cluster a cluster para clusters do GKE no local (VMware e bare metal), na AWS e no Azure. Em alternativa, pode optar por configurar o serviço de identidade do GKE para uma frota, que é um grupo lógico de clusters que lhe permite ativar a funcionalidade e atualizar a configuração nestes clusters.
- Configure o acesso do utilizador: O administrador do cluster configura o acesso de início de sessão do utilizador para autenticar nos clusters através da abordagem de acesso FQDN (recomendada) ou acesso baseado em ficheiros e, opcionalmente, configura o controlo de acesso baseado em funções (RBAC) do Kubernetes para utilizadores nestes clusters.