Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Identitätsanbieter Ihrer Wahl konfigurieren
Dieses Dokument richtet sich an Plattformadministratoren, die für das Einrichten und Verwalten der Identität innerhalb Ihrer Organisation verantwortlich sind. Wenn Sie ein Clusteradministrator oder Anwendungsoperator sind, bitten Sie Ihren Plattformadministrator, die hier beschriebene Einrichtung abzuschließen, bevor Sie einzelne Cluster konfigurieren oder die Flotteneinrichtung verwenden.
Hinweise
Wenn Clusteradministratoren den Authentifizierungszugriff über den voll qualifizierten Domainnamen (FQDN) des Kubernetes API-Servers des Clusters bereitstellen sollen (empfohlen), gehen Sie so vor: Andernfalls können Sie mit dem Konfigurieren Ihres Identitätsanbieters fortfahren. Weitere Informationen zu Nutzerauthentifizierungsmethoden finden Sie unter Authentifizierungsmethode für den Nutzerzugriff einrichten.
Konfigurieren Sie Ihren Domain Name Service (DNS) so, dass der ausgewählte voll qualifizierte Domainname in die VIPs (virtuellen IP-Adressen) der Steuerungsebene des Clusters aufgelöst wird. Nutzer können über diesen Domainnamen auf den Cluster zugreifen.
Verwenden Sie ein SNI-Zertifikat (Server Name Indication), das von Ihrer vertrauenswürdigen Unternehmenszertifizierungsstelle (CA, Certificate Authority) ausgestellt wurde. In diesem Zertifikat wird Ihr FQDN als gültige Domain erwähnt, wodurch potenzielle Zertifikatswarnungen für Nutzer ausgeschlossen werden. Sie können das SNI-Zertifikat während der Clustererstellung bereitstellen. Weitere Informationen zum Angeben von SNI-Zertifikaten finden Sie unter Authentifizierung von SNI-Zertifikaten.
Können keine SNI-Zertifikate verwendet werden, müssen die Clusteradministratoren alle Nutzergeräte so konfigurieren, dass sie dem Cluster-CA-Zertifikat vertrauen. Dadurch werden zwar Zertifikatwarnungen vermieden, aber das Cluster-CA-Zertifikat muss an alle Nutzer verteilt werden.
Die Konfiguration von GKE Identity Service hängt vom Identitätsanbieter ab, den Sie verwenden. Wählen Sie zuerst einen geeigneten Anbieter aus, den Sie konfigurieren möchten:
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-08-31 (UTC)."],[],[],null,["# Configure the identity provider of your choice\n==============================================\n\nThis document is for platform administrators who are responsible for setting up\nand managing identity within your organization. If you're a cluster administrator or application\noperator, ask your platform administrator to complete the setup described\nhere before you configure individual clusters or use the fleet setup.\n\nBefore you begin\n----------------\n\nIf you want cluster administrators to provide authentication access using the\nfully qualified domain name (FQDN) of the cluster's Kubernetes API server\n(recommended), do the following. Otherwise, you can skip ahead to\n[configuring your identity provider](#configidp). You can learn more about user\nauthentication methods in [Set up an authentication method for user access](/kubernetes-engine/enterprise/identity/setup/user-access).\n\n- Configure your domain name service (DNS) to resolve your chosen fully qualified domain name to the cluster's control plane VIPs (virtual IP addresses). Users can access the cluster using this domain name.\n- Use a Server Name Indication (SNI) certificate issued by your trusted enterprise Certificate Authority (CA). This certificate specifically mentions your FQDN as a valid domain, eliminating potential certificate warnings for users. You can provide the SNI certificate during cluster creation. For more information on specifying SNI certificates, see [SNI certificate authentication](/anthos/clusters/docs/on-prem/latest/how-to/user-cluster-configuration-file#authentication-sni-section).\n- If SNI certificates are not feasible, cluster administrators need to configure all user devices to trust the cluster-CA certificate. This avoids certificate warnings but requires distributing the cluster-CA certificate to all users.\n\nFor more information on user login access using these certificates, see [Authenticate using FQDN access](/kubernetes-engine/enterprise/identity/setup/user-access#alternativeuserloginaccess).\n\nConfigure the identity provider\n-------------------------------\n\nThe configuration of GKE Identity Service depends on the identity\nprovider you choose to use. To get started, choose the appropriate provider you want to configure:\n\n- [Configure OIDC providers](/kubernetes-engine/enterprise/identity/setup/provider)\n- [Configure SAML providers](/kubernetes-engine/enterprise/identity/setup/saml-provider)\n- [Configure LDAP providers](/kubernetes-engine/enterprise/identity/setup/provider-ldap)"]]
