Mengonfigurasi penyedia SAML untuk Identity Service GKE

Dokumen ini ditujukan untuk administrator platform, atau siapa pun yang mengelola penyiapan identitas di organisasi Anda. Panduan ini menjelaskan cara mengonfigurasi penyedia identitas Security Assertion Markup Language (SAML) yang Anda pilih untuk Identity Service GKE.

Mendaftarkan GKE Identity Service ke penyedia Anda

Untuk mendaftarkan Identity Service GKE untuk penyedia identitas, Anda memerlukan informasi berikut:

  • EntityID - Ini adalah ID unik yang mewakili Identity Service GKE untuk penyedia. Ini berasal dari URL server API. Misalnya, jika APISERVER-URL adalah https://cluster.company.com, EntityID harus berupa https://cluster.company.com:11001. Perhatikan bahwa URL tidak memiliki garis miring di bagian akhir.
  • AssertionConsumerServiceURL - Ini adalah URL callback di GKE Identity Service. Respons diteruskan ke URL ini setelah penyedia mengautentikasi pengguna. Misalnya, jika APISERVER-URL adalah https://cluster.company.com, AssertionConsumerServiceURL harus berupa https://cluster.company.com:11001/saml-callback.

Informasi penyiapan penyedia

Bagian ini memberikan informasi tambahan khusus penyedia untuk mendaftarkan Identity Service GKE. Jika penyedia Anda tercantum di sini, daftarkan Layanan Identitas GKE ke penyedia Anda sebagai aplikasi klien menggunakan petunjuk berikut.

Azure AD

  1. Jika Anda belum melakukannya, Siapkan tenant di Azure Active Directory.
  2. Mendaftarkan aplikasi dengan platform identitas Microsoft.
  3. Buka halaman App registrations di Azure Portal dan pilih aplikasi Anda berdasarkan namanya.
  4. Di bagian Kelola, pilih setelan Autentikasi.
  5. Di bagian Platform Configurations, pilih Enterprise Applications.
  6. Di Set up Single Sign-On with SAML, edit Basic SAML Configuration.
  7. Di bagian Identifier (Entity ID), pilih Add Identifier.
  8. Masukkan EntityID dan Reply URL yang Anda dapatkan dari Mendaftarkan Identity Service GKE dengan penyedia Anda
  9. Klik Simpan untuk menyimpan setelan ini.
  10. Tinjau bagian Attributes & Claims untuk menambahkan atribut baru.
  11. Di bagian SAML Certificates, klik Certificate (Base64) untuk mendownload sertifikat penyedia identitas.
  12. Di bagian Siapkan aplikasi, salin URL Login dan ID Azure AD.

Menetapkan masa aktif pernyataan SAML

Untuk meningkatkan keamanan, konfigurasikan penyedia SAML Anda untuk mengeluarkan pernyataan dengan masa berlaku singkat, seperti 10 menit. Setelan ini dapat dikonfigurasi dalam setelan penyedia SAML Anda.

Menetapkan masa berlaku kurang dari 5 menit dapat menyebabkan masalah login jika jam antara Identity Service GKE dan penyedia SAML Anda tidak disinkronkan.

Membagikan detail penyedia

Saat mendaftarkan penyedia, Anda harus membagikan informasi berikut kepada administrator cluster. Detail ini diperoleh dari metadata penyedia dan diperlukan pada saat mengonfigurasi Identity Service GKE dengan SAML.

  • idpEntityID - Ini adalah ID unik untuk penyedia identitas. ID ini sesuai dengan URL penyedia dan juga disebut ID Azure AD.
  • idpSingleSignOnURL - Ini adalah endpoint tempat pengguna dialihkan untuk mendaftar. URL ini juga disebut Login URL.
  • idpCertificateDataList- Ini adalah sertifikat publik yang digunakan oleh penyedia identitas untuk verifikasi pernyataan SAML.

Langkah berikutnya

Administrator cluster Anda dapat menyiapkan Identity Service GKE untuk setiap cluster atau fleet.