Se connecter à un fournisseur d'identité

Cette page explique comment connecter Google Distributed Cloud (GDC) air-gapped au fournisseur d'identité (IdP) existant de votre organisation. Un IdP est un système qui gère et sécurise de manière centralisée les identités des utilisateurs, et qui fournit des services d'authentification. En se connectant à un IdP existant, les utilisateurs peuvent accéder à GDC à l'aide des identifiants de leur organisation, sans avoir à créer ni à gérer de comptes distincts dans GDC. Ce processus permet de garantir une expérience de connexion fluide et sécurisée. Étant donné qu'un IdP est une ressource globale, les utilisateurs peuvent accéder à GDC via le même IdP, quelle que soit la zone dans laquelle ils travaillent.

Cette page s'adresse aux audiences du groupe des administrateurs de plate-forme, comme les administrateurs informatiques ou les ingénieurs en sécurité, qui souhaitent se connecter à un IdP. Pour en savoir plus, consultez la documentation sur les audiences pour GDC en mode air-gapped.

Vous pouvez vous connecter à un fournisseur d'identité existant à l'aide de l'une des méthodes suivantes :

Avant de commencer

Avant de vous connecter à un fournisseur d'identité existant, assurez-vous que la configuration initiale est terminée et que vous disposez des autorisations nécessaires.

Configuration initiale de la connexion au fournisseur d'identité

Un membre du groupe des opérateurs d'infrastructure de votre organisation doit configurer la connexion initiale au fournisseur d'identité avant que les utilisateurs puissent accéder aux clusters ou aux tableaux de bord de GDC.

Pour ce faire, ils peuvent ouvrir une demande dans, le système de gestion des demandes, et fournir les informations suivantes sur le fournisseur d'identité :

  • Nombre de serveurs et leurs types.
  • Quantité de stockage par blocs en To.
  • Quantité de stockage d'objets en To.
  • Paramètres obligatoires pour OIDC :
    • clientID : ID de l'application cliente qui envoie des requêtes d'authentification au fournisseur OpenID.
    • clientSecret : code secret connu uniquement de l'application et du fournisseur OpenID.
    • issuerURL : URL à laquelle les requêtes d'autorisation sont envoyées à votre OpenID.
    • scopes : niveaux d'accès supplémentaires à envoyer au fournisseur OpenID.
    • userclaim : revendication JWT à utiliser comme nom d'utilisateur.
    • certificateAuthorityData : certificat encodé au format PEM encodé en base64 pour le fournisseur OIDC.
  • Paramètres obligatoires pour les fournisseurs SAML :
    • idpCertificateDataList : certificats IdP permettant de valider la réponse SAML. Ces certificats doivent être encodés en base64 standard et au format PEM. Seuls deux certificats maximum sont acceptés pour faciliter la rotation des certificats IdP.
    • idpEntityID : ID d'entité SAML du fournisseur SAML, spécifié au format URI. Exemple : https://www.idp.com/saml.
    • idpSingleSignOnURI : URI du point de terminaison SSO du fournisseur SAML. Par exemple, https://www.idp.com/saml/sso.
  • Nom d'utilisateur ou groupe de noms d'utilisateur pour les administrateurs initiaux.

Autorisations requises

Pour obtenir les autorisations nécessaires pour connecter un fournisseur d'identité existant, procédez comme suit :

  • Demandez à l'administrateur IAM de votre organisation de vous attribuer le rôle Administrateur de la fédération IdP (idp-federation-admin).
  • Assurez-vous que l'administrateur initial que vous spécifiez lorsque vous connectez le fournisseur d'identité dispose du rôle IAM Administrateur de l'organisation (organization-iam-admin).

Se connecter à un fournisseur d'identité existant

Pour connecter le fournisseur d'identité, vous devez disposer d'un seul ID client et d'un seul secret de la part de votre fournisseur d'identité. Vous pouvez vous connecter à un fournisseur OIDC ou SAML existant.

Se connecter à un fournisseur OIDC existant

Pour vous connecter à un fournisseur OIDC existant, procédez comme suit :

Console

  1. Connectez-vous à la console GDC. L'exemple suivant montre la console après la connexion à une organisation appelée org-1 : Page d'accueil de la console avec des liens d'accès rapide aux tâches courantes
  2. Dans le menu de navigation, cliquez sur Identité et accès > Identité.

  3. Cliquez sur Configurer un nouveau fournisseur d'identité.

  4. Dans la section Configurer le fournisseur d'identité, procédez comme suit, puis cliquez sur Suivant :

    1. Dans le menu déroulant Fournisseur d'identité, sélectionnez OpenID Connect (OIDC).
    2. Saisissez un nom de fournisseur d'identité.
    3. Dans le champ URL Google Distributed Cloud, saisissez l'URL que vous utilisez pour accéder à GDC.
    4. Dans le champ URI de l'émetteur, saisissez l'URL vers laquelle les requêtes d'autorisation sont envoyées à votre fournisseur d'identité. Le serveur d'API Kubernetes utilise cette URL pour découvrir les clés publiques permettant de valider les jetons. L'URL doit utiliser le protocole HTTPS.
    5. Dans le champ ID client, saisissez l'ID de l'application cliente qui envoie des requêtes d'authentification au fournisseur d'identité.
    6. Dans la section Code secret du client, sélectionnez Configurer le code secret du client (recommandé).
      1. Dans le champ Code secret du client, saisissez le code secret du client, qui est un code secret partagé entre votre fournisseur d'identité et Distributed Cloud.

    7. Facultatif : Dans le champ Préfixe, saisissez un préfixe. Le préfixe est ajouté au début des revendications d'utilisateur et de groupe. Les préfixes permettent de distinguer les différentes configurations de fournisseur d'identité. Par exemple, si vous définissez un préfixe myidp, une revendication d'utilisateur peut être myidpusername@example.com et une revendication de groupe peut être myidpgroup@example.com. Vous devez également inclure le préfixe lors de l'attribution d'autorisations de contrôle des accès basé sur les rôles (RBAC) aux groupes.

    8. Facultatif : Dans la section Chiffrement, sélectionnez Activer les jetons chiffrés.

      Pour activer les jetons de chiffrement, vous devez disposer du rôle "Administrateur de la fédération IdP". Demandez à l'administrateur IAM de votre organisation de vous attribuer le rôle Administrateur de la fédération IdP (idp-federation-admin).

      1. Dans le champ ID de la clé, saisissez l'ID de votre clé. L'ID de clé est une clé publique d'un jeton Web JSON (JWT). Votre fournisseur OIDC configure et provisionne un ID de clé.
      2. Dans le champ Clé de déchiffrement, saisissez la clé de déchiffrement au format PEM. La clé de déchiffrement est une clé asymétrique qui déchiffre un chiffrement. Votre fournisseur OIDC configure et provisionne une clé de déchiffrement.

  5. Dans la section Configurer les attributs, procédez comme suit, puis cliquez sur Suivant :

    1. Dans le champ Autorité de certification pour le fournisseur OIDC, saisissez un certificat encodé au format PEM en base64 pour le fournisseur d'identité. Pour en savoir plus, consultez https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail.
      1. Pour créer la chaîne, encodez le certificat, y compris les en-têtes, en base64.
      2. Incluez la chaîne obtenue dans en tant que ligne unique. Exemple : LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==
    2. Dans le champ Revendication de groupe, saisissez le nom de la revendication dans le jeton du fournisseur d'identité qui contient les informations sur le groupe de l'utilisateur.
    3. Dans le champ Revendication de l'utilisateur, saisissez la revendication permettant d'identifier chaque utilisateur. La revendication par défaut pour de nombreux fournisseurs est sub. Vous pouvez choisir d'autres revendications, telles que email ou name, en fonction du fournisseur d'identité. Les revendications autres que email sont précédées de l'URL de l'émetteur pour éviter les conflits de noms.
    4. Facultatif : Dans la section "Attributs personnalisés", cliquez sur Ajouter et saisissez des paires clé-valeur pour ajouter des revendications concernant un utilisateur, comme son service ou l'URL de sa photo de profil.
    5. Si votre fournisseur d'identité nécessite des niveaux d'accès supplémentaires, saisissez-les dans le champ Niveaux d'accès, en les séparant par une virgule, pour les envoyer au fournisseur d'identité.
    6. Dans la section Paramètres supplémentaires, saisissez toutes les paires clé/valeur supplémentaires (séparées par une virgule) requises par votre fournisseur d'identité. Si vous autorisez un groupe, transmettez resource=token-groups-claim.

  6. Dans la section Spécifier les administrateurs initiaux, procédez comme suit, puis cliquez sur Suivant :

    1. Choisissez d'ajouter des utilisateurs individuels ou des groupes en tant qu'administrateurs initiaux.
    2. Dans le champ Nom d'utilisateur ou alias de groupe, saisissez l'adresse e-mail de l'utilisateur ou du groupe pour accéder à l'organisation. Si vous êtes l'administrateur, saisissez votre adresse e-mail, par exemple kiran@example.com. Le préfixe est ajouté avant le nom d'utilisateur, par exemple myidp-kiran@example.com.

  7. Vérifiez vos sélections, puis cliquez sur Configurer.

Le nouveau profil de fournisseur d'identité est disponible dans la liste des profils d'identité.

API

Pour connecter votre fournisseur d'identité à votre organisation, créez la ressource personnalisée globale IdentityProviderConfig.

  1. Créez un fichier YAML de ressource personnalisée IdentityProviderConfig, tel que pa-idp-oidc.yaml :

    apiVersion: iam.global.gdc.goog/v1
kind: IdentityProviderConfig
metadata:
  name: pa-idp-oidc
  namespace: platform
spec:
  oidc:
    certificateAuthorityData: "IDP_BASE64_ENCODED_CERTIFICATE"
    clientID: IDP_CLIENT_ID
    clientSecret: IDP_CLIENT_SECRET
    groupPrefix: IDP_GROUP_PREFIX
    groupsClaim: IDP_GROUP_CLAIM
    issuerURI: IDP_ISSUER_URI
    scopes: openid email profile
    userClaim: IDP_USER_CLAIM
    userPrefix: IDP_USER_PREFIX

    Remplacez les variables suivantes :

    • IDP_BASE64_ENCODED_CERTIFICATE : certificat encodé en base64 pour le fournisseur d'identité.
    • IDP_CLIENT_ID : ID client du fournisseur d'identité.
    • IDP_CLIENT_SECRET : code secret du client pour le fournisseur d'identité.
    • IDP_GROUP_PREFIX : préfixe des groupes dans le fournisseur d'identité.
    • IDP_GROUP_CLAIM : nom de la revendication dans le jeton IdP qui regroupe les informations.
    • IDP_ISSUER_URI : URI de l'émetteur pour le fournisseur d'identité.
    • IDP_USER_CLAIM : nom de la revendication dans le jeton IdP pour l'utilisateur.
    • IDP_USER_PREFIX : préfixe du fournisseur d'identité de l'utilisateur.

  2. Appliquez la ressource personnalisée IdentityProviderConfig au serveur d'API global :

    kubectl --kubeconfig GLOBAL_API_SERVER_KUBECONFIG apply -f pa-idp-oidc.yaml

    Remplacez la variable GLOBAL_API_SERVER_KUBECONFIG par le chemin d'accès au fichier kubeconfig du serveur d'API global.

Se connecter à un fournisseur SAML existant

Pour vous connecter à un fournisseur SAML existant, procédez comme suit :

Console

  1. Connectez-vous à la console GDC.
  2. Dans le menu de navigation, cliquez sur Identité et accès > Identité.

  3. Dans la section Configurer le fournisseur d'identité, procédez comme suit, puis cliquez sur Suivant :

    1. Dans le menu déroulant Fournisseur d'identité, sélectionnez Security Assertion Markup Language (SAML).
    2. Saisissez un nom de fournisseur d'identité.
    3. Dans le champ ID d'identité, saisissez l'ID de l'application cliente qui envoie des requêtes d'authentification au fournisseur d'identité.
    4. Dans le champ URI SSO, saisissez l'URL du point de terminaison d'authentification unique du fournisseur. Exemple : https://www.idp.com/saml/sso.

    5. Dans le champ Préfixe du fournisseur d'identité, saisissez un préfixe. Le préfixe est ajouté au début des revendications d'utilisateur et de groupe. Les préfixes permettent de distinguer les différentes configurations de fournisseurs d'identité. Par exemple, si vous définissez un préfixe myidp, une revendication utilisateur peut s'afficher sous la forme myidpusername@example.com et une revendication de groupe sous la forme myidpgroup@example.com. Vous devez également inclure le préfixe lors de l'attribution d'autorisations RBAC aux groupes.

    6. Pour renforcer la sécurité, configurez votre fournisseur SAML afin qu'il émette des assertions d'une durée de vie de 5 à 10 minutes. Ce paramètre est configurable dans les paramètres de votre fournisseur SAML.

    7. Facultatif : Dans la section Assertions SAML, sélectionnez Activer les assertions SAML chiffrées.

      Pour activer les assertions SAML chiffrées, vous devez disposer du rôle Administrateur de la fédération de fournisseurs d'identité. Demandez à l'administrateur IAM de votre organisation de vous accorder le rôle Administrateur de la fédération IdP (idp-federation-admin).

      1. Dans le champ Certificat de chiffrement, saisissez votre certificat de chiffrement au format PEM. Vous recevrez votre certificat de chiffrement après avoir généré le fournisseur SAML.
      2. Dans le champ Clé de déchiffrement, saisissez votre clé de déchiffrement. Vous recevez votre clé de déchiffrement après avoir généré le fournisseur SAML.

    8. Facultatif : Dans la section SAML Signed requests (Requêtes SAML signées), cochez Enable signed SAML requests (Activer les requêtes SAML signées).

      1. Dans le champ Signing certificate (Certificat de signature), saisissez votre certificat de signature au format PEM. Votre fournisseur SAML configure et vous fournit un certificat de signature.
      2. Dans le champ Clé de signature, saisissez votre clé de signature au format PEM. Votre fournisseur SAML configure et génère une clé de signature pour vous.

  4. Sur la page Configurer les attributs, procédez comme suit, puis cliquez sur Suivant :

    1. Dans le champ Certificat IdP, saisissez un certificat encodé au format PEM en base64 pour le fournisseur d'identité. Pour en savoir plus, consultez https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail.
      1. Pour créer la chaîne, encodez le certificat, y compris les en-têtes, en base64.
      2. Incluez la chaîne obtenue dans en tant que ligne unique. Par exemple : LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==.
    2. Saisissez les certificats supplémentaires dans le champ Certificat IdP supplémentaire.
    3. Dans le champ Attribut utilisateur, saisissez l'attribut permettant d'identifier chaque utilisateur. L'attribut par défaut de nombreux fournisseurs est sub. Vous pouvez choisir d'autres attributs, tels que email ou name, en fonction du fournisseur d'identité. Les attributs autres que email sont précédés de l'URL de l'émetteur pour éviter les conflits de noms.
    4. Dans le champ Attribut de groupe, saisissez le nom de l'attribut du jeton du fournisseur d'identité qui contient les informations sur le groupe de l'utilisateur.
    5. Facultatif : Dans la section Mappage des attributs, cliquez sur Ajouter et saisissez des paires clé-valeur pour ajouter des attributs concernant un utilisateur, comme son service ou l'URL de sa photo de profil.

  5. Dans la section Spécifier les administrateurs initiaux, procédez comme suit, puis cliquez sur Suivant :

    1. Choisissez d'ajouter des utilisateurs individuels ou des groupes en tant qu'administrateurs initiaux.
    2. Dans le champ Nom d'utilisateur, saisissez l'adresse e-mail de l'utilisateur ou du groupe pour accéder à l'organisation. Si vous êtes l'administrateur, saisissez votre adresse e-mail, par exemple kiran@example.com. Le préfixe est ajouté avant le nom d'utilisateur, par exemple myidp-kiran@example.com.

  6. Sur la page Examiner, vérifiez toutes les valeurs de chaque configuration d'identité avant de continuer. Cliquez sur Retour pour revenir aux pages précédentes et apporter les corrections nécessaires. Une fois que vous avez configuré toutes les valeurs selon vos spécifications, cliquez sur Configurer.

API

Pour connecter votre fournisseur d'identité à votre organisation, créez la ressource personnalisée globale IdentityProviderConfig.

  1. Créez un fichier YAML de ressource personnalisée IdentityProviderConfig, tel que pa-idp-saml.yaml :

    apiVersion: iam.global.gdc.goog/v1
kind: IdentityProviderConfig
metadata:
  name: pa-idp-saml
  namespace: platform
spec:
  saml:
    groupPrefix: IDP_GROUP_PREFIX
    groupsAttribute: IDP_GROUP_ATTRIBUTE
    idpCertificateDataList:
    - "IDP_BASE64_ENCODED_CERTIFICATE"
    idpEntityID: IDP_SAML_ENTITY_ID
    idpSingleSignOnURI: IDP_SAML_SSO_URI
    userAttribute: IDP_USER_ATTRIBUTE
    userPrefix: IDP_USER_PREFIX

    Remplacez les variables suivantes :

    • IDP_GROUP_PREFIX : préfixe des groupes dans le fournisseur d'identité.
    • IDP_GROUP_ATTRIBUTE : attribut des groupes dans le fournisseur d'identité.
    • IDP_BASE64_ENCODED_CERTIFICATE : certificat encodé en base64 pour le fournisseur d'identité.
    • IDP_SAML_ENTITY_ID : URL ou URI permettant d'identifier de manière unique le fournisseur d'identité.
    • IDP_SAML_SSO_URI : URI de l'émetteur pour le fournisseur d'identité.
    • IDP_USER_ATTRIBUTE : attribut de l'utilisateur IdP, tel qu'une adresse e-mail.
    • IDP_USER_PREFIX : nom de la revendication dans le jeton IdP pour l'utilisateur.

  2. Appliquez la ressource personnalisée IdentityProviderConfig au serveur d'API global :

    kubectl --kubeconfig GLOBAL_API_SERVER_KUBECONFIG apply -f pa-idp-saml.yaml

    Remplacez la variable GLOBAL_API_SERVER_KUBECONFIG par le chemin d'accès au fichier kubeconfig du serveur d'API global.

Supprimer un fournisseur d'identité existant

Supprimez un fournisseur d'identité existant à l'aide de la console GDC :

  1. Connectez-vous à la console GDC.
  2. Dans le sélecteur de projet, sélectionnez l'organisation dans laquelle vous souhaitez supprimer le fournisseur d'identité.
  3. Dans le menu de navigation, cliquez sur Identité et accès > Identité.

  4. Cochez la case à côté du nom d'un ou de plusieurs fournisseurs d'identité.

    Un message s'affiche avec le nombre de fournisseurs d'identité sélectionnés et un bouton Supprimer.

  5. Cliquez sur Supprimer.