Configura il provider LDAP per GKE Identity Service

Questo documento è rivolto agli amministratori della piattaforma o a chiunque gestisca la configurazione dell'identità nella tua organizzazione. Spiega come configurare il provider di identità Lightweight Directory Access Protocol (LDAP) scelto per GKE Identity Service.

GKE Identity Service con LDAP può essere utilizzato solo con Google Distributed Cloud e Google Distributed Cloud.

Prima di iniziare

Durante questa configurazione, potresti dover consultare la documentazione del server LDAP. Le seguenti guide per amministratori spiegano la configurazione per alcuni provider LDAP popolari, incluso dove trovare le informazioni necessarie per accedere al server LDAP:

Ottieni i dati di accesso LDAP

GKE Identity Service ha bisogno di un secret del account di servizio per eseguire l'autenticazione sul server LDAP e recuperare i dettagli dell'utente. Esistono due tipi di account di servizio consentiti nell'autenticazione LDAP: autenticazione di base (che utilizza un nome utente e una password per l'autenticazione al server) o certificato client (che utilizza una chiave privata client e un certificato client). Per scoprire quale tipo è supportato nel tuo server LDAP specifico, consulta la relativa documentazione. In genere, Google LDAP supporta solo un certificato client come account di servizio. OpenLDAP, Microsoft Active Directory e Azure AD supportano solo l'autenticazione di base in modo nativo.

Le seguenti istruzioni mostrano come creare un client e ottenere i dettagli di accesso al server LDAP per alcuni provider popolari. Per altri provider LDAP, consulta la documentazione dell'amministratore del server.

Azure AD/Active Directory

  1. Segui le istruzioni dell'interfaccia utente per creare un nuovo account utente.
  2. Salva il nome distinto (DN) completo dell'utente e la password per un utilizzo successivo.

Google LDAP

  1. Assicurati di aver eseguito l'accesso al tuo account Google Workspace o Cloud Identity su accounts.google.com.
  2. Accedi alla Console di amministrazione Google con l'account.
  3. Seleziona App - LDAP dal menu a sinistra.
  4. Fai clic su Aggiungi cliente.
  5. Aggiungi il nome e la descrizione del cliente che hai scelto e fai clic su Continua.
  6. Nella sezione Autorizzazioni di accesso, assicurati che il client disponga delle autorizzazioni appropriate per leggere la tua directory e accedere alle informazioni utente.
  7. Scarica il certificato client e completa la creazione del client. Il download del certificato comporta anche il download della chiave corrispondente.

  8. Esegui i seguenti comandi nella directory pertinente per codificare in base64 il certificato e la chiave, sostituendo i nomi dei file del certificato e della chiave scaricati:

    cat CERTIFICATE_FILENAME.crt | base64
cat KEY_FILENAME.key | base64

  9. Salva le stringhe della chiave e del certificato criptati per un utilizzo futuro.

OpenLDAP

  1. Utilizza il comando ldapadd per aggiungere una nuova voce di account di servizio alla directory. Assicurati che l'account disponga dell'autorizzazione per leggere la directory e accedere alle informazioni utente.
  2. Salva il nome distinto (DN) completo dell'utente e la password per un utilizzo successivo.

Passaggi successivi

L'amministratore del cluster può configurare GKE Identity Service per cluster singoli o per un parco risorse.