Configurer le fournisseur d'identité de votre choix

Ce document s'adresse aux administrateurs de plate-forme chargés de configurer et de gérer les identités au sein de votre organisation. Si vous êtes administrateur de cluster ou opérateur d'application, demandez à l'administrateur de votre plate-forme de terminer la configuration décrite ici avant de configurer des clusters individuels ou d'utiliser la configuration de la flotte.

Avant de commencer

Si vous souhaitez que les administrateurs de clusters fournissent un accès d'authentification à l'aide du nom de domaine complet (FQDN) du serveur d'API Kubernetes du cluster (recommandé), procédez comme suit. Sinon, vous pouvez passer à la configuration de votre fournisseur d'identité. Pour en savoir plus sur les méthodes d'authentification des utilisateurs, consultez Configurer une méthode d'authentification pour l'accès des utilisateurs.

• Configurez votre service de noms de domaine (DNS) pour qu'il résolve le nom de domaine complet choisi en adresses IP virtuelles (VIP) du plan de contrôle du cluster. Les utilisateurs peuvent accéder au cluster à l'aide de ce nom de domaine.
• Utilisez un certificat SNI (Server Name Indication) émis par votre autorité de certification (CA) d'entreprise de confiance. Ce certificat mentionne spécifiquement votre FQDN en tant que domaine valide, ce qui élimine les avertissements de certificat potentiels pour les utilisateurs. Vous pouvez fournir le certificat SNI lors de la création du cluster. Pour en savoir plus sur la spécification des certificats SNI, consultez la section Authentification par certificat SNI.
• Si les certificats SNI ne sont pas possibles, les administrateurs de cluster doivent configurer tous les appareils utilisateur pour qu'ils fassent confiance au certificat de l'autorité de certification du cluster. Cela évite les avertissements de certificat, mais nécessite de distribuer le certificat CA de cluster à tous les utilisateurs.

Pour en savoir plus sur l'accès utilisateur à l'aide de ces certificats, consultez la section S'authentifier à l'aide de l'accès au nom de domaine complet.

Configurer le fournisseur d'identité

La configuration de GKE Identity Service dépend du fournisseur d'identité que vous choisissez d'utiliser. Pour commencer, choisissez le fournisseur que vous souhaitez configurer :

• Configurer des fournisseurs OIDC
• Configurer des fournisseurs SAML
• Configurer des fournisseurs LDAP