Verbindung zu einem Identitätsanbieter herstellen

Auf dieser Seite wird beschrieben, wie Sie Google Distributed Cloud (GDC) Air-Gapped mit dem vorhandenen Identitätsanbieter (IdP) Ihrer Organisation verbinden. Ein IdP ist ein System, das Nutzeridentitäten zentral verwaltet und schützt und Authentifizierungsdienste bereitstellt. Wenn Sie eine Verbindung zu einem vorhandenen IdP herstellen, können Nutzer mit den Anmeldedaten ihrer Organisation auf GDC zugreifen, ohne separate Konten in GDC erstellen oder verwalten zu müssen. So wird eine nahtlose und sichere Anmeldung ermöglicht. Da ein IdP eine globale Ressource ist, können Nutzer unabhängig von der Zone, in der sie arbeiten, über denselben IdP auf GDC zugreifen.

Diese Seite richtet sich an Nutzer in der Gruppe der Plattformadministratoren, z. B. IT-Administratoren oder Sicherheitsexperten, die eine Verbindung zu einem Identitätsanbieter herstellen möchten. Weitere Informationen finden Sie in der Dokumentation zu Zielgruppen für GDC-Air-Gap-Umgebungen.

Sie können eine Verbindung zu einem vorhandenen Identitätsanbieter über eine der folgenden Optionen herstellen:

Hinweise

Bevor Sie eine Verbindung zu einem vorhandenen Identitätsanbieter herstellen, müssen Sie sicherstellen, dass die Ersteinrichtung abgeschlossen ist und Sie die erforderlichen Berechtigungen haben.

Ersteinrichtung der Verbindung zum Identitätsanbieter

Ein Mitglied der Infrastruktur-Operatorgruppe für Ihre Organisation muss die erste Verbindung zum IdP konfigurieren, bevor Nutzer auf die Cluster oder Dashboards von GDC zugreifen können.

Dazu können sie ein Ticket in, dem Ticketing-System, erstellen und die folgenden Informationen zum Identitätsanbieter angeben:

  • Anzahl der Server und ihre Typen.
  • Menge des Blockspeichers in TB.
  • Menge des Objektspeichers in TB.
  • Erforderliche Parameter für OIDC:
    • clientID: Die ID für die Clientanwendung, die Authentifizierungsanfragen an den OpenID-Anbieter sendet.
    • clientSecret: Secret, das nur der Anwendung und dem OpenID-Anbieter bekannt ist.
    • issuerURL: Die URL, über die Autorisierungsanfragen an Ihren OpenID-Anbieter gesendet werden.
    • scopes: Zusätzliche Bereiche, die an den OpenID-Anbieter gesendet werden.
    • userclaim: JSON-Webtoken-Anspruch (JWT), der als Nutzername verwendet werden soll.
    • certificateAuthorityData: Ein base64-codiertes PEM-codiertes Zertifikat für den OIDC-Anbieter.
  • Erforderliche Parameter für SAML-Anbieter:
    • idpCertificateDataList: Die IdP-Zertifikate zum Überprüfen der SAML-Antwort. Diese Zertifikate müssen standardmäßig Base64-codiert und im PEM-Format vorliegen. Es werden nur maximal zwei Zertifikate unterstützt, um die Zertifikatsrotation des Identitätsanbieters zu ermöglichen.
    • idpEntityID: Die SAML-Entitäts-ID für den SAML-Anbieter im URI-Format. Beispiel: https://www.idp.com/saml
    • idpSingleSignOnURI: Der URI zum SSO-Endpunkt des SAML-Anbieters. Beispiel: https://www.idp.com/saml/sso
  • Nutzername oder Gruppe von Nutzernamen für die ersten Administratoren.

Erforderliche Berechtigungen

So erhalten Sie die Berechtigungen, die Sie zum Verbinden eines vorhandenen Identitätsanbieters benötigen:

  • Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Rolle „IdP Federation Admin“ (idp-federation-admin) zuzuweisen.
  • Der erste Administrator, den Sie beim Verbinden des Identitätsanbieters angeben, muss die IAM-Rolle „Organisationsadministrator“ (organization-iam-admin) haben.

Mit einem vorhandenen Identitätsanbieter verbinden

Um den Identitätsanbieter zu verbinden, benötigen Sie eine einzelne Client-ID und ein Secret von Ihrem Identitätsanbieter. Sie können entweder eine Verbindung zu einem vorhandenen OIDC- oder SAML-Anbieter herstellen.

Mit einem vorhandenen OIDC-Anbieter verbinden

So stellen Sie eine Verbindung zu einem vorhandenen OIDC-Anbieter her:

Console

  1. Melden Sie sich in der GDC-Konsole an. Das folgende Beispiel zeigt die Console nach der Anmeldung in einer Organisation namens org-1: Willkommensseite der Konsole mit Direktlinks zu häufigen Aufgaben
  2. Klicken Sie im Navigationsmenü auf Identität und Zugriff > Identität.

  3. Klicken Sie auf Neuen Identitätsanbieter einrichten.

  4. Führen Sie im Abschnitt Identitätsanbieter konfigurieren die folgenden Schritte aus und klicken Sie auf Weiter:

    1. Wählen Sie im Drop-down-Menü Identitätsanbieter die Option Open ID Connect (OIDC) aus.
    2. Geben Sie einen Namen für den Identitätsanbieter ein.
    3. Geben Sie im Feld Google Distributed Cloud-URL die URL ein, die Sie für den Zugriff auf GDC verwenden.
    4. Geben Sie im Feld Aussteller-URI die URL ein, über die Autorisierungsanfragen an Ihren Identitätsanbieter gesendet werden. Der Kubernetes API-Server nutzt diese URL, um öffentliche Schlüssel zum Verifizieren von Tokens zu ermitteln. Die URL muss HTTPS verwenden.
    5. Geben Sie im Feld Client-ID die ID für die Clientanwendung ein, die Authentifizierungsanfragen an den Identitätsanbieter sendet.
    6. Wählen Sie im Abschnitt Clientschlüssel die Option Clientschlüssel konfigurieren (empfohlen) aus.
      1. Geben Sie im Feld Clientschlüssel den Clientschlüssel ein. Das ist ein gemeinsames Secret zwischen Ihrem Identitätsanbieter und Distributed Cloud.

    7. Optional: Geben Sie im Feld Präfix ein Präfix ein. Das Präfix wird am Anfang von Nutzer- und Gruppenansprüchen hinzugefügt. Präfixe werden verwendet, um zwischen verschiedenen Konfigurationen von Identitätsanbietern zu unterscheiden. Wenn Sie beispielsweise das Präfix myidp festlegen, kann eine Nutzeranforderung myidpusername@example.com und eine Gruppenanforderung myidpgroup@example.com lauten. Das Präfix muss auch enthalten sein, wenn Sie Gruppen RBAC-Berechtigungen zuweisen.

    8. Optional: Wählen Sie im Bereich Verschlüsselung die Option Verschlüsselte Tokens aktivieren aus.

      Zum Aktivieren von Verschlüsselungstokens benötigen Sie die Rolle „IdP Federation Admin“. Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Rolle „IdP Federation Admin“ (idp-federation-admin) zuzuweisen.

      1. Geben Sie im Feld Schlüssel-ID Ihre Schlüssel-ID ein. Die Schlüssel-ID ist ein öffentlicher Schlüssel eines JSON Web Encryption-Tokens (JWT). Ihr OIDC-Anbieter richtet eine Schlüssel-ID ein und stellt sie bereit.
      2. Geben Sie im Feld Entschlüsselungsschlüssel den Entschlüsselungsschlüssel im PEM-Format ein. Der Entschlüsselungsschlüssel ist ein asymmetrischer Schlüssel, mit dem eine Verschlüsselung entschlüsselt wird. Ihr OIDC-Anbieter richtet einen Entschlüsselungsschlüssel ein und stellt ihn bereit.

  5. Führen Sie im Abschnitt Attribute konfigurieren die folgenden Schritte aus und klicken Sie auf Weiter:

    1. Geben Sie im Feld Zertifizierungsstelle für OIDC-Anbieter ein base64-codiertes PEM-codiertes Zertifikat für den Identitätsanbieter ein. Weitere Informationen finden Sie unter https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail.
      1. Codieren Sie das Zertifikat samt Header in base64, um den String zu erstellen.
      2. Fügen Sie den resultierenden String als eine Zeile ein. Beispiel: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==
    2. Geben Sie im Feld Gruppenanspruch den Namen des Anspruchs im Token des Identitätsanbieters ein, der die Gruppeninformationen des Nutzers enthält.
    3. Geben Sie im Feld Nutzer-Claim den Claim ein, mit dem jeder Nutzer identifiziert wird. Der Standardanspruch für viele Anbieter ist sub. Je nach Identitätsanbieter können Sie andere Ansprüche wie email oder name auswählen. Anderen Ansprüchen als email wird die Aussteller-URL vorangestellt, um Namenskonflikte zu vermeiden.
    4. Optional: Klicken Sie im Abschnitt „Benutzerdefinierte Attribute“ auf Hinzufügen und geben Sie Schlüssel/Wert-Paare für zusätzliche Behauptungen über einen Nutzer ein, z. B. seine Abteilung oder die URL seines Profilbilds.
    5. Wenn Ihr Identitätsanbieter zusätzliche Bereiche erfordert, geben Sie im Feld Bereiche die durch Kommas getrennten Bereiche ein, die an den Identitätsanbieter gesendet werden sollen.
    6. Geben Sie im Abschnitt Zusätzliche Parameter alle zusätzlichen Schlüssel/Wert-Paare (durch Kommas getrennt) ein, die von Ihrem Identitätsanbieter benötigt werden. Wenn Sie eine Gruppe autorisieren, geben Sie resource=token-groups-claim ein.

  6. Führen Sie im Abschnitt Erste Administratoren angeben die folgenden Schritte aus und klicken Sie auf Weiter:

    1. Wählen Sie aus, ob Sie einzelne Nutzer oder Gruppen als erste Administratoren hinzufügen möchten.
    2. Geben Sie im Feld Nutzername oder Gruppenalias die E-Mail-Adresse des Nutzers oder der Gruppe ein, um auf die Organisation zuzugreifen. Wenn Sie der Administrator sind, geben Sie Ihre E-Mail-Adresse ein, z. B. kiran@example.com. Das Präfix wird vor dem Nutzernamen hinzugefügt, z. B. myidp-kiran@example.com.

  7. Überprüfen Sie Ihre Auswahl und klicken Sie auf Einrichten.

Das neue Identitätsanbieterprofil ist in der Liste der Identitätsprofile verfügbar.

API

Wenn Sie Ihren Identitätsanbieter mit Ihrer Organisation verbinden möchten, erstellen Sie die globale benutzerdefinierte Ressource IdentityProviderConfig.

  1. Erstellen Sie eine YAML-Datei für die benutzerdefinierte Ressource vom Typ IdentityProviderConfig, z. B. pa-idp-oidc.yaml:

    apiVersion: iam.global.gdc.goog/v1
kind: IdentityProviderConfig
metadata:
  name: pa-idp-oidc
  namespace: platform
spec:
  oidc:
    certificateAuthorityData: "IDP_BASE64_ENCODED_CERTIFICATE"
    clientID: IDP_CLIENT_ID
    clientSecret: IDP_CLIENT_SECRET
    groupPrefix: IDP_GROUP_PREFIX
    groupsClaim: IDP_GROUP_CLAIM
    issuerURI: IDP_ISSUER_URI
    scopes: openid email profile
    userClaim: IDP_USER_CLAIM
    userPrefix: IDP_USER_PREFIX

    Ersetzen Sie die folgenden Variablen:

    • IDP_BASE64_ENCODED_CERTIFICATE: Das base64-codierte Zertifikat für den IdP.
    • IDP_CLIENT_ID: die Client-ID für den IdP.
    • IDP_CLIENT_SECRET: der Clientschlüssel für den IdP.
    • IDP_GROUP_PREFIX: Das Präfix für Gruppen im IdP.
    • IDP_GROUP_CLAIM: Der Name der Anforderung im IdP-Token, die Gruppeninformationen enthält.
    • IDP_ISSUER_URI: der Aussteller-URI für den Identitäsanbieter.
    • IDP_USER_CLAIM: Der Name der Anspruch im IdP-Token für den Nutzer.
    • IDP_USER_PREFIX: Das Präfix für den Nutzer-IdP.

  2. Wenden Sie die benutzerdefinierte Ressource IdentityProviderConfig auf den globalen API-Server an:

    kubectl --kubeconfig GLOBAL_API_SERVER_KUBECONFIG apply -f pa-idp-oidc.yaml

    Ersetzen Sie die Variable GLOBAL_API_SERVER_KUBECONFIG durch den Pfad zur kubeconfig-Datei für den globalen API-Server.

Mit einem vorhandenen SAML-Anbieter verbinden

Führen Sie die folgenden Schritte aus, um eine Verbindung zu einem vorhandenen SAML-Anbieter herzustellen:

Console

  1. Melden Sie sich in der GDC-Konsole an.
  2. Klicken Sie im Navigationsmenü auf Identität und Zugriff > Identität.

  3. Führen Sie im Abschnitt Identitätsanbieter konfigurieren die folgenden Schritte aus und klicken Sie auf Weiter:

    1. Wählen Sie im Drop-down-Menü Identitätsanbieter die Option Security Assertion Markup Language (SAML) aus.
    2. Geben Sie einen Namen für den Identitätsanbieter ein.
    3. Geben Sie im Feld Identitäts-ID die ID für die Clientanwendung ein, die Authentifizierungsanfragen an den Identitätsanbieter sendet.
    4. Geben Sie im Feld SSO URI die URL zum SSO-Endpunkt des Anbieters ein. Beispiel: https://www.idp.com/saml/sso

    5. Geben Sie im Feld Präfix des Identitätsanbieters ein Präfix ein. Das Präfix wird am Anfang von Nutzer- und Gruppenansprüchen hinzugefügt. Präfixe dienen dazu, zwischen verschiedenen Konfigurationen von Identitätsanbietern zu unterscheiden. Beispiel: Wenn Sie das Präfix myidp festlegen, kann eine Nutzeranforderung als myidpusername@example.com und eine Gruppenanforderung als myidpgroup@example.com angezeigt werden. Das Präfix muss auch enthalten sein, wenn Sie Gruppen RBAC-Berechtigungen zuweisen.

    6. Konfigurieren Sie Ihren SAML-Anbieter so, dass er zur Erhöhung der Sicherheit Assertions mit einer Gültigkeitsdauer von 5 bis 10 Minuten ausgibt. Diese Einstellung kann in den Einstellungen Ihres SAML-Anbieters konfiguriert werden.

    7. Optional: Wählen Sie im Abschnitt SAML-Assertions die Option Verschlüsselte SAML-Assertions aktivieren aus.

      Um verschlüsselte SAML-Assertions zu aktivieren, benötigen Sie die Rolle „IdP Federation Admin“. Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Rolle „IdP Federation Admin“ (idp-federation-admin) zuzuweisen.

      1. Geben Sie im Feld Verschlüsselungszertifikat Ihr Verschlüsselungszertifikat im PEM-Format ein. Sie erhalten Ihr Verschlüsselungszertifikat, nachdem Sie den SAML-Anbieter generiert haben.
      2. Geben Sie im Feld Entschlüsselungsschlüssel Ihren Entschlüsselungsschlüssel ein. Sie erhalten Ihren Entschlüsselungsschlüssel, nachdem Sie den SAML-Anbieter generiert haben.

    8. Optional: Klicken Sie im Abschnitt SAML Signed requests (Signierte SAML-Anfragen) auf Enable signed SAML requests (Signierte SAML-Anfragen aktivieren).

      1. Geben Sie im Feld Signierzertifikat Ihr Signierzertifikat im PEM-Dateiformat ein. Ihr SAML-Anbieter richtet ein Signaturzertifikat für Sie ein und stellt es Ihnen zur Verfügung.
      2. Geben Sie im Feld Signierschlüssel Ihren Signierschlüssel im PEM-Dateiformat ein. Ihr SAML-Anbieter richtet einen Signaturschlüssel ein und stellt ihn Ihnen zur Verfügung.

  4. Führen Sie auf der Seite Attribute konfigurieren die folgenden Schritte aus und klicken Sie auf Weiter:

    1. Geben Sie im Feld IDP certificate (IDP-Zertifikat) ein base64-codiertes PEM-codiertes Zertifikat für den Identitätsanbieter ein. Weitere Informationen finden Sie unter https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail.
      1. Codieren Sie das Zertifikat samt Header in base64, um den String zu erstellen.
      2. Fügen Sie den resultierenden String als eine Zeile ein. Beispiel: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==.
    2. Geben Sie zusätzliche Zertifikate im Feld Zusätzliches IdP-Zertifikat ein.
    3. Geben Sie im Feld Nutzerattribut das Attribut ein, mit dem jeder Nutzer identifiziert wird. Das Standardattribut für viele Anbieter ist sub. Je nach Identitätsanbieter können Sie andere Attribute wie email oder name auswählen. Anderen Attributen als email wird die Aussteller-URL vorangestellt, um Namenskonflikte zu vermeiden.
    4. Geben Sie im Feld Gruppenattribut den Namen des Attributs im Token des Identitätsanbieters ein, das die Gruppeninformationen des Nutzers enthält.
    5. Optional: Klicken Sie im Bereich Attributzuordnung auf Hinzufügen und geben Sie Schlüssel-Wert-Paare für zusätzliche Attribute eines Nutzers ein, z. B. seine Abteilung oder die URL seines Profilbilds.

  5. Führen Sie im Abschnitt Erste Administratoren angeben die folgenden Schritte aus und klicken Sie auf Weiter:

    1. Wählen Sie aus, ob Sie einzelne Nutzer oder Gruppen als erste Administratoren hinzufügen möchten.
    2. Geben Sie im Feld Nutzername die E-Mail-Adresse des Nutzers oder der Gruppe ein, um auf die Organisation zuzugreifen. Wenn Sie der Administrator sind, geben Sie Ihre E-Mail-Adresse ein, z. B. kiran@example.com. Das Präfix wird vor dem Nutzernamen eingefügt, z. B. myidp-kiran@example.com.

  6. Prüfen Sie auf der Seite Überprüfen alle Werte der einzelnen Identitätskonfigurationen, bevor Sie fortfahren. Klicken Sie auf Zurück, um zu den vorherigen Seiten zurückzukehren und die erforderlichen Korrekturen vorzunehmen. Wenn Sie alle Werte nach Ihren Vorgaben konfiguriert haben, klicken Sie auf Einrichten.

API

Wenn Sie Ihren Identitätsanbieter mit Ihrer Organisation verbinden möchten, erstellen Sie die globale benutzerdefinierte Ressource IdentityProviderConfig.

  1. Erstellen Sie eine YAML-Datei für die benutzerdefinierte Ressource vom Typ IdentityProviderConfig, z. B. pa-idp-saml.yaml:

    apiVersion: iam.global.gdc.goog/v1
kind: IdentityProviderConfig
metadata:
  name: pa-idp-saml
  namespace: platform
spec:
  saml:
    groupPrefix: IDP_GROUP_PREFIX
    groupsAttribute: IDP_GROUP_ATTRIBUTE
    idpCertificateDataList:
    - "IDP_BASE64_ENCODED_CERTIFICATE"
    idpEntityID: IDP_SAML_ENTITY_ID
    idpSingleSignOnURI: IDP_SAML_SSO_URI
    userAttribute: IDP_USER_ATTRIBUTE
    userPrefix: IDP_USER_PREFIX

    Ersetzen Sie die folgenden Variablen:

    • IDP_GROUP_PREFIX: Das Präfix für Gruppen im IdP.
    • IDP_GROUP_ATTRIBUTE: Das Attribut für Gruppen im IdP.
    • IDP_BASE64_ENCODED_CERTIFICATE: Das base64-codierte Zertifikat für den IdP.
    • IDP_SAML_ENTITY_ID: die URL oder der URI zur eindeutigen Identifizierung des IdP.
    • IDP_SAML_SSO_URI: der Aussteller-URI für den Identitäsanbieter.
    • IDP_USER_ATTRIBUTE: Das Attribut für den IdP-Nutzer, z. B. eine E-Mail-Adresse.
    • IDP_USER_PREFIX: Der Name der Anspruch im IdP-Token für den Nutzer.

  2. Wenden Sie die benutzerdefinierte Ressource IdentityProviderConfig auf den globalen API-Server an:

    kubectl --kubeconfig GLOBAL_API_SERVER_KUBECONFIG apply -f pa-idp-saml.yaml

    Ersetzen Sie die Variable GLOBAL_API_SERVER_KUBECONFIG durch den Pfad zur kubeconfig-Datei für den globalen API-Server.

Vorhandenen Identitätsanbieter löschen

So löschen Sie einen vorhandenen Identitätsanbieter mit der GDC Console:

  1. Melden Sie sich in der GDC-Konsole an.
  2. Wählen Sie in der Projektauswahl die Organisation aus, in der Sie den Identitätsanbieter löschen möchten.
  3. Klicken Sie im Navigationsmenü auf Identität und Zugriff > Identität.

  4. Klicken Sie das Kästchen neben dem Namen eines oder mehrerer Identitätsanbieter an.

    Es wird eine Meldung mit der Anzahl der ausgewählten Identitätsanbieter und der Schaltfläche Löschen angezeigt.

  5. Klicken Sie auf Löschen.