Visão geral do serviço de identidade do GKE
O GKE Identity Service é um serviço de autenticação que se integra às suas soluções de identidade atuais, permitindo que você as use em vários ambientes do GKE Enterprise. Os usuários podem acessar e gerenciar os clusters do GKE na linha de comando ou no console do Google Cloud. Tudo isso usando o provedor de identidade atual.
Se você preferir usar os IDs do Google para fazer login nos clusters do GKE em vez de um provedor de identidade, consulte Conectar-se a clusters registrados com o gateway do Connect.
Provedores de identidade compatíveis
O GKE Identity Service oferece suporte aos seguintes protocolos de provedor de identidade para verificar e autenticar usuários quando eles tentam acessar recursos ou serviços:
- OpenID Connect (OIDC): é um protocolo de autenticação moderno e leve criado com base no framework de autorização OAuth 2.0. Fornecemos instruções específicas para a configuração de alguns provedores OpenID Connect conhecidos, incluindo a Microsoft, mas você pode usar qualquer provedor que implemente o OIDC.
- Linguagem de marcação para autorização de segurança (SAML): o SAML é um padrão baseado em XML para a troca de dados de autenticação e autorização entre partes, principalmente entre um provedor de identidade (IdP) e um provedor de serviços (SP). É possível usar o serviço de identidade do GKE para autenticação usando SAML.
- Protocolo leve de acesso a diretórios (LDAP): o LDAP é um protocolo maduro e padronizado para acessar e gerenciar serviços de informações de diretório. Ele é usado geralmente para armazenar e extrair informações do usuário, como nomes de usuário, senhas e associações a grupos. É possível usar o GKE Identity Service para fazer a autenticação usando LDAP com o Active Directory ou um servidor LDAP.
Tipos de cluster compatíveis
Protocolo | Google Distributed Cloud | Google Distributed Cloud | GKE na AWS | GKE no Azure | Clusters anexados ao EKS | GKE |
---|---|---|---|---|---|---|
OIDC | ||||||
LDAP | ||||||
SAML |
Outros tipos de clusters anexados não podem ser usados com o serviço de identidade do GKE.
Processo de configuração
A configuração do GKE Identity Service para seus clusters envolve os seguintes usuários e etapas de processo:
- Configurar provedores: o administrador da plataforma registra o GKE Identity Service como um aplicativo cliente com o provedor de identidade de sua preferência e recebe um secret e um ID de cliente.
- Configurar clusters individuais ou configurar sua frota: o administrador do cluster configura clusters para seu serviço de identidade. É possível configurar o GKE Identity Service em um cluster por cluster para clusters do GKE no local (VMware e bare metal), no Azure e na AWS. Como alternativa, configure o GKE Identity Service para uma frota, que é um grupo lógico de clusters que permite ativar a funcionalidade e atualizar a configuração nesses clusters.
- Configurar o acesso do usuário: o administrador do cluster configura o acesso de login do usuário para autenticar nos clusters usando a abordagem de acesso por FQDN (recomendado) ou acesso baseado em arquivos e, opcionalmente, configura o controle de acesso baseado em papéis (RBAC) do Kubernetes para usuários nesses clusters.