Panoramica di GKE Identity Service
GKE Identity Service è un servizio di autenticazione che integra alle tue soluzioni di identità esistenti, consentendoti di utilizzarle su più GKE Enterprise. Gli utenti possono accedere ai tuoi cluster GKE e gestirli dalla riga di comando o dalla console Google Cloud, il tutto utilizzando le tue risorse o il provider di identità.
Se preferisci utilizzare gli ID Google per accedere ai tuoi cluster GKE anziché un provider di identità, consulta Connettersi ai cluster registrati con il gateway Connect.
Provider di identità supportati
GKE Identity Service supporta i seguenti protocolli del provider di identità per verificare e autenticare gli utenti quando tentano di accedere a risorse o servizi:
- OpenID Connect (OIDC): OIDC è uno strumento moderno e leggero basato sul protocollo di autenticazione OAuth 2.0. Me forniscono istruzioni specifiche per la configurazione di alcuni provider OpenID Connect più diffusi, incluso Microsoft, ma puoi utilizzare qualsiasi provider che implementi OIDC.
- SAML (Security Assertion Markup Language): SAML è uno standard basato su XML per lo scambio tra le parti dei dati di autenticazione e autorizzazione. principalmente tra un provider di identità (IdP) e un provider di servizi (SP). Tu può utilizzare GKE Identity Service per eseguire l'autenticazione mediante SAML.
- LDAP (Lightweight Directory Access Protocol): il protocollo LDAP è un dominio maturo, protocollo standardizzato per l'accesso e la gestione dei servizi di informazioni sulle directory. Di solito viene utilizzato per archiviare e recuperare informazioni sugli utenti, come nomi utente, password e iscrizioni ai gruppi. Puoi utilizzare GKE Identity Service eseguire l'autenticazione tramite LDAP con Active Directory o un server LDAP.
Tipi di cluster supportati
| Protocollo | Google Distributed Cloud | Google Distributed Cloud | GKE su AWS | GKE su Azure | Cluster collegati a EKS | GKE |
|---|---|---|---|---|---|---|
| OIDC | ||||||
| LDAP | ||||||
| SAML |
Gli altri tipi di cluster collegati non sono supportati per l'utilizzo con GKE Identity Service.
Procedura di configurazione
La configurazione di GKE Identity Service per i tuoi cluster prevede i seguenti utenti e passaggi del processo:
- Configurare i provider: L'amministratore della piattaforma registra il servizio di identità GKE come client. con il proprio provider di identità preferito e riceve un ID client e un segreto.
- Configura singoli cluster oppure configura il tuo parco risorse: L'amministratore del cluster configura i cluster per il servizio di identità. Puoi configurare GKE Identity Service a livello di cluster per cluster GKE on-premise (sia VMware che bare metal), su AWS e Azure. In alternativa, puoi scegliere di configurare il servizio di identità GKE per un parco risorse, ovvero gruppo logico di cluster che consente di abilitare la funzionalità e aggiornare configurazione in questi cluster.
- Configurare l'accesso degli utenti: L'amministratore del cluster configura l'accesso utente per l'autenticazione al utilizzando l'accesso ai nomi di dominio completi (consigliato) o accesso basato su file e, facoltativamente, configura il controllo controllo dell'accesso basato sui ruoli (RBAC) di Kubernetes per gli utenti su questi cluster.