Conéctate a un proveedor de identidad

En esta página, se explica cómo conectar Google Distributed Cloud (GDC) aislado de Internet a tu proveedor de identidad (IdP) existente de la organización. Un IdP es un sistema que administra y protege de forma centralizada las identidades de los usuarios, y proporciona servicios de autenticación. Conectarse a un IdP existente permite a los usuarios acceder a GDC con las credenciales de su organización, sin necesidad de crear ni administrar cuentas separadas dentro de GDC. Este proceso garantiza una experiencia de acceso segura y sin inconvenientes. Dado que un IdP es un recurso global, los usuarios pueden acceder a GDC a través del mismo IdP, independientemente de la zona en la que trabajen.

Esta página está dirigida a los públicos que forman parte del grupo de administradores de la plataforma, como los administradores de TI o los ingenieros de seguridad, que desean conectarse a un IdP. Para obtener más información, consulta Audiences for GDC air-gapped documentation.

Puedes conectarte a un proveedor de identidad existente con una de las siguientes opciones:

Antes de comenzar

Antes de conectarte a un proveedor de identidad existente, asegúrate de que la configuración inicial esté completa y de tener los permisos necesarios.

Configuración inicial de la conexión del proveedor de identidad

Un miembro del grupo de operadores de infraestructura de tu organización debe configurar la conexión inicial al IdP antes de que los usuarios puedan acceder a los clústeres o paneles de GDC.

Para ello, deben abrir un ticket en el sistema de tickets y proporcionar la siguiente información sobre el proveedor de identidad:

  • Cantidad de servidores y sus tipos
  • Cantidad de almacenamiento en bloque en TB.
  • Cantidad de almacenamiento de objetos en TB.
  • Parámetros obligatorios para OIDC:
    • clientID: Es el ID de la aplicación cliente que realiza solicitudes de autenticación al proveedor de OpenID.
    • clientSecret: Es el secreto que solo conocen la aplicación y el proveedor de OpenID.
    • issuerURL: URL a la que se envían las solicitudes de autorización a tu OpenID.
    • scopes: Son los permisos adicionales que se deben enviar al proveedor de OpenID.
    • userclaim: Es la reclamación del token web JSON (JWT) que se usará como nombre de usuario.
    • certificateAuthorityData: Es un certificado con codificación PEM codificado en base64 para el proveedor de OIDC.
  • Parámetros obligatorios para los proveedores de SAML:
    • idpCertificateDataList: Son los certificados del IdP para verificar la respuesta de SAML. Estos certificados deben estar codificados en base64 estándar y tener el formato PEM. Solo se admite un máximo de dos certificados para facilitar la rotación de certificados del IdP.
    • idpEntityID: Es el ID de la entidad SAML para el proveedor de SAML, especificado en formato de URI. Por ejemplo: https://www.idp.com/saml.
    • idpSingleSignOnURI: Es el URI del extremo de SSO del proveedor de SAML. Por ejemplo: https://www.idp.com/saml/sso.
  • Nombre de usuario o grupo de nombres de usuario para los administradores iniciales.

Permisos necesarios

Para obtener los permisos que necesitas para conectar un proveedor de identidad existente, haz lo siguiente:

  • Pídele al administrador de IAM de la organización que te otorgue el rol de administrador de federación de IdP (idp-federation-admin).
  • Asegúrate de que el administrador inicial que especifiques cuando conectes el proveedor de identidad tenga el rol de administrador de IAM de la organización (organization-iam-admin).

Conéctate a un proveedor de identidad existente

Para conectar el proveedor de identidad, debes tener un solo ID de cliente y secreto de tu proveedor de identidad. Puedes conectarte a un proveedor existente de OIDC o SAML.

Conéctate a un proveedor de OIDC existente

Para conectarte a un proveedor de OIDC existente, completa los siguientes pasos:

Console

  1. Accede a la consola de GDC. En el siguiente ejemplo, se muestra la consola después de acceder a una organización llamada org-1: Página de bienvenida de la consola con vínculos de acceso rápido a tareas comunes
  2. En el menú de navegación, haz clic en Identity and Access > Identity.

  3. Haz clic en Configurar un nuevo proveedor de identidad.

  4. En la sección Configurar proveedor de identidad, completa los siguientes pasos y haz clic en Siguiente:

    1. En el menú desplegable Proveedor de identidad, selecciona Open ID Connect (OIDC).
    2. Ingresa un nombre del proveedor de identidad.
    3. En el campo URL de Google Distributed Cloud, ingresa la URL que usas para acceder a GDC.
    4. En el campo URI de la entidad emisora, ingresa la URL a la que se envían las solicitudes de autorización a tu proveedor de identidad. El servidor de la API de Kubernetes usa esta URL a fin de buscar claves públicas para la verificación de tokens. La URL debe usar HTTPS.
    5. En el campo ID de cliente, ingresa el ID de la aplicación cliente que realiza solicitudes de autenticación al proveedor de identidad.
    6. En la sección Secreto del cliente, selecciona Configurar secreto del cliente (recomendado).
      1. En el campo Secreto del cliente, ingresa el secreto del cliente, que es un secreto compartido entre tu proveedor de identidad y Distributed Cloud.

    7. Opcional: En el campo Prefijo, ingresa un prefijo. El prefijo se agrega al comienzo de las reclamaciones de usuarios y grupos. Los prefijos se usan para distinguir entre diferentes configuraciones de proveedores de identidad. Por ejemplo, si estableces un prefijo de myidp, una reclamación de usuario podría ser myidpusername@example.com y una reclamación de grupo podría ser myidpgroup@example.com. El prefijo también se debe incluir cuando se asignan permisos de control de acceso basado en roles (RBAC) a los grupos.

    8. Opcional: En la sección Encryption, selecciona Enable encrypted tokens.

      Para habilitar los tokens de encriptación, debes tener el rol de administrador de la federación de IdP. Pídele al administrador de IAM de la organización que te otorgue el rol de administrador de federación de IdP (idp-federation-admin).

      1. En el campo ID de clave, ingresa tu ID de clave. El ID de clave es una clave pública de un token web JSON (JWT) de encriptación. Tu proveedor de OIDC configura y aprovisiona un ID de clave.
      2. En el campo Clave de desencriptación, ingresa la clave de desencriptación en formato PEM. La clave de desencriptación es una clave asimétrica que desencripta una encriptación. Tu proveedor de OIDC configura y aprovisiona una clave de desencriptación.

  5. En la sección Configurar atributos, completa los siguientes pasos y haz clic en Siguiente:

    1. En el campo Autoridad certificadora para el proveedor de OIDC, ingresa un certificado codificado con PEM y codificado en base64 para el proveedor de identidad. Para obtener más información, consulta https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail.
      1. Para crear la cadena, codifica el certificado, incluidos los encabezados, en base64.
      2. Incluye la cadena resultante en como una sola línea. Ejemplo: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==
    2. En el campo Reclamación de grupo, ingresa el nombre de la reclamación en el token del proveedor de identidad que contiene la información del grupo del usuario.
    3. En el campo Reclamo del usuario, ingresa el reclamo para identificar a cada usuario. El reclamo predeterminado para muchos proveedores es sub. Puedes elegir otras reclamaciones, como email o name, según el proveedor de identidad. Las reclamaciones que no sean email tienen el prefijo de la URL de la entidad emisora para evitar conflictos de nombres.
    4. Opcional: En la sección Atributos personalizados, haz clic en Agregar y, luego, ingresa pares clave-valor para las declaraciones adicionales sobre un usuario, como su departamento o la URL de la foto de perfil.
    5. Si tu proveedor de identidad requiere permisos adicionales, en el campo Permisos, ingresa los permisos separados por comas que se enviarán al proveedor de identidad.
    6. En la sección Parámetros adicionales, ingresa cualquier par clave-valor adicional (separado por comas) que requiera tu proveedor de identidad. Si autorizas un grupo, pasa resource=token-groups-claim.

  6. En la sección Especifica administradores iniciales, completa los siguientes pasos y haz clic en Siguiente:

    1. Elige si deseas agregar usuarios individuales o grupos como administradores iniciales.
    2. En el campo Nombre de usuario o alias de grupo, ingresa la dirección de correo electrónico del usuario o grupo para acceder a la organización. Si eres el administrador, ingresa tu dirección de correo electrónico, por ejemplo, kiran@example.com. El prefijo se agrega antes del nombre de usuario, como myidp-kiran@example.com.

  7. Revisa tus selecciones y haz clic en Configurar.

El nuevo perfil del proveedor de identidad está disponible en la lista Perfiles de identidad.

API

Para conectar tu proveedor de identidad a tu organización, crea el recurso personalizado global IdentityProviderConfig.

  1. Crea un archivo YAML de recurso personalizado IdentityProviderConfig, como pa-idp-oidc.yaml:

    apiVersion: iam.global.gdc.goog/v1
kind: IdentityProviderConfig
metadata:
  name: pa-idp-oidc
  namespace: platform
spec:
  oidc:
    certificateAuthorityData: "IDP_BASE64_ENCODED_CERTIFICATE"
    clientID: IDP_CLIENT_ID
    clientSecret: IDP_CLIENT_SECRET
    groupPrefix: IDP_GROUP_PREFIX
    groupsClaim: IDP_GROUP_CLAIM
    issuerURI: IDP_ISSUER_URI
    scopes: openid email profile
    userClaim: IDP_USER_CLAIM
    userPrefix: IDP_USER_PREFIX

    Reemplaza las siguientes variables:

    • IDP_BASE64_ENCODED_CERTIFICATE: Es el certificado codificado en base64 para el IdP.
    • IDP_CLIENT_ID: Es el ID de cliente para el IdP.
    • IDP_CLIENT_SECRET: Es el secreto del cliente del IdP.
    • IDP_GROUP_PREFIX: Es el prefijo para los grupos en el IdP.
    • IDP_GROUP_CLAIM: Es el nombre de la reclamación en el token de IdP que agrupa la información.
    • IDP_ISSUER_URI: Es el URI del emisor del IdP.
    • IDP_USER_CLAIM: Es el nombre de la reclamación en el token del IdP para el usuario.
    • IDP_USER_PREFIX: Es el prefijo del IdP del usuario.

  2. Aplica el recurso personalizado IdentityProviderConfig al servidor de la API global:

    kubectl --kubeconfig GLOBAL_API_SERVER_KUBECONFIG apply -f pa-idp-oidc.yaml

    Reemplaza la variable GLOBAL_API_SERVER_KUBECONFIG por la ruta de acceso al archivo kubeconfig del servidor de la API global.

Conéctate a un proveedor de SAML existente

Para conectarte a un proveedor de SAML existente, completa los siguientes pasos:

Console

  1. Accede a la consola de GDC.
  2. En el menú de navegación, haz clic en Identidad y acceso > Identidad.

  3. En la sección Configurar proveedor de identidad, completa los siguientes pasos y haz clic en Siguiente:

    1. En el menú desplegable Proveedor de identidad, selecciona Lenguaje de marcado para confirmaciones de seguridad (SAML).
    2. Ingresa un nombre del proveedor de identidad.
    3. En el campo ID de identidad, ingresa el ID de la aplicación cliente que realiza solicitudes de autenticación al proveedor de identidad.
    4. En el campo URI de SSO, ingresa la URL del extremo de inicio de sesión único del proveedor. Por ejemplo: https://www.idp.com/saml/sso.

    5. En el campo Prefijo del proveedor de identidad, ingresa un prefijo. El prefijo se agrega al comienzo de las reclamaciones de usuarios y grupos. Los prefijos distinguen entre diferentes configuraciones de proveedores de identidad. Por ejemplo, si estableces un prefijo de myidp, un reclamo de usuario podría mostrarse como myidpusername@example.com y un reclamo de grupo podría mostrarse como myidpgroup@example.com. También debes incluir el prefijo cuando asignes permisos de RBAC a los grupos.

    6. Para mejorar la seguridad, configura tu proveedor de SAML para que emita aserciones con una vida útil de entre 5 y 10 minutos. Este parámetro de configuración se puede establecer en la configuración de tu proveedor de SAML.

    7. Opcional: En la sección Aserciones de SAML, selecciona Habilitar aserciones de SAML encriptadas.

      Para habilitar las aserciones de SAML encriptadas, debes tener el rol de administrador de federación de IdP. Pídele al administrador de IAM de la organización que te otorgue el rol de administrador de federación de IdP (idp-federation-admin).

      1. En el campo Certificado de encriptación, ingresa tu certificado de encriptación en formato PEM. Recibirás tu certificado de encriptación después de generar el proveedor de SAML.
      2. En el campo Clave de desencriptación, ingresa tu clave de desencriptación. Recibirás la clave de desencriptación después de generar el proveedor de SAML.

    8. Opcional: En la sección SAML Signed requests, marca la casilla de verificación Enable signed SAML requests.

      1. En el campo Certificado de firma, ingresa tu certificado de firma en formato de archivo PEM. Tu proveedor de SAML configura y te proporciona un certificado de firma.
      2. En el campo Clave de firma, ingresa tu clave de firma en formato de archivo PEM. Tu proveedor de SAML configura y te proporciona una clave de firma.

  4. En la página Configurar atributos, completa los siguientes pasos y haz clic en Siguiente:

    1. En el campo Certificado del IDP, ingresa un certificado con codificación PEM codificado en base64 para el proveedor de identidad. Para obtener más información, consulta https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail.
      1. Para crear la cadena, codifica el certificado, incluidos los encabezados, en base64.
      2. Incluye la cadena resultante en como una sola línea. Por ejemplo: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==
    2. Ingresa los certificados adicionales en el campo Certificado de IdP adicional.
    3. En el campo Atributo del usuario, ingresa el atributo para identificar a cada usuario. El atributo predeterminado para muchos proveedores es sub. Puedes elegir otros atributos, como email o name, según el proveedor de identidad. Los atributos que no sean email tienen el prefijo de la URL de la entidad emisora para evitar conflictos de nombres.
    4. En el campo Atributo de grupo, ingresa el nombre del atributo en el token del proveedor de identidad que contiene la información del grupo del usuario.
    5. Opcional: En el área Attribute mapping, haz clic en Add y, luego, ingresa pares clave-valor para atributos adicionales sobre un usuario, como su departamento o la URL de la foto de perfil.

  5. En la sección Especifica administradores iniciales, completa los siguientes pasos y haz clic en Siguiente:

    1. Elige si deseas agregar usuarios individuales o grupos como administradores iniciales.
    2. En el campo Nombre de usuario, ingresa la dirección de correo electrónico del usuario o grupo para acceder a la organización. Si eres el administrador, ingresa tu dirección de correo electrónico, por ejemplo, kiran@example.com. El prefijo se agrega antes del nombre de usuario, como myidp-kiran@example.com.

  6. En la página Revisar, verifica todos los valores de cada configuración de identidad antes de continuar. Haz clic en Atrás para volver a las páginas anteriores y realizar las correcciones necesarias. Cuando hayas configurado todos los valores según tus especificaciones, haz clic en Configurar.

API

Para conectar tu proveedor de identidad a tu organización, crea el recurso personalizado global IdentityProviderConfig.

  1. Crea un archivo YAML de recurso personalizado IdentityProviderConfig, como pa-idp-saml.yaml:

    apiVersion: iam.global.gdc.goog/v1
kind: IdentityProviderConfig
metadata:
  name: pa-idp-saml
  namespace: platform
spec:
  saml:
    groupPrefix: IDP_GROUP_PREFIX
    groupsAttribute: IDP_GROUP_ATTRIBUTE
    idpCertificateDataList:
    - "IDP_BASE64_ENCODED_CERTIFICATE"
    idpEntityID: IDP_SAML_ENTITY_ID
    idpSingleSignOnURI: IDP_SAML_SSO_URI
    userAttribute: IDP_USER_ATTRIBUTE
    userPrefix: IDP_USER_PREFIX

    Reemplaza las siguientes variables:

    • IDP_GROUP_PREFIX: Es el prefijo para los grupos en el IdP.
    • IDP_GROUP_ATTRIBUTE: Es el atributo para los grupos en el IdP.
    • IDP_BASE64_ENCODED_CERTIFICATE: Es el certificado codificado en base64 para el IdP.
    • IDP_SAML_ENTITY_ID: Es la URL o el URI para identificar de forma única el IdP.
    • IDP_SAML_SSO_URI: Es el URI del emisor del IdP.
    • IDP_USER_ATTRIBUTE: Es el atributo del usuario del IdP, como un correo electrónico.
    • IDP_USER_PREFIX: Es el nombre de la reclamación en el token del IdP para el usuario.

  2. Aplica el recurso personalizado IdentityProviderConfig al servidor de la API global:

    kubectl --kubeconfig GLOBAL_API_SERVER_KUBECONFIG apply -f pa-idp-saml.yaml

    Reemplaza la variable GLOBAL_API_SERVER_KUBECONFIG por la ruta de acceso al archivo kubeconfig del servidor de la API global.

Cómo borrar un proveedor de identidad existente

Para borrar un proveedor de identidad existente con la consola de GDC, haz lo siguiente:

  1. Accede a la consola de GDC.
  2. En el selector de proyectos, selecciona la organización en la que deseas borrar el proveedor de identidad.
  3. En el menú de navegación, haz clic en Identidad y acceso > Identidad.

  4. Marca la casilla junto al nombre de uno o más proveedores de identidad.

    Aparecerá un mensaje con la cantidad de proveedores de identidad que seleccionaste y un botón Borrar.

  5. Haz clic en Borrar.