Configurar provedores SAML do GKE Identity Service

Este documento é destinado a administradores de plataforma ou a quem gerencia a configuração de identidade na organização. Ele explica como configurar o provedor de identidade Linguagem de marcação para autorização de segurança (SAML) escolhido para o serviço de identidade do GKE.

Registrar o GKE Identity Service com seu provedor

Para registrar o serviço de identidade do GKE no provedor de identidade, você precisa das seguintes informações:

  • EntityID: um identificador exclusivo que representa o serviço de identidade do GKE do provedor. Ele é derivado do URL do servidor da API. Por exemplo, se APISERVER-URL for https://cluster.company.com, EntityID será https://cluster.company.com:11001. Observe que o URL não tem barras no final.
  • AssertionConsumerServiceURL: é o URL de callback no serviço de identidade do GKE. A resposta é encaminhada para esse URL depois que o provedor autentica o usuário. Por exemplo, se APISERVER-URL for https://cluster.company.com, AssertionConsumerServiceURL será https://cluster.company.com:11001/saml-callback.

Informações de configuração do provedor

Nesta seção, fornecemos outras informações específicas do provedor para registrar o GKE Identity Service. Se o provedor estiver listado aqui, registre o GKE Identity Service com ele como um aplicativo cliente seguindo as instruções abaixo.

Azure AD

  1. Se você ainda não tiver feito isso, configure um locatário no Azure Active Directory.
  2. Registre um aplicativo com a plataforma de identidade da Microsoft.
  3. Abra a página Registros de aplicativos no Portal do Azure e selecione seu aplicativo por nome.
  4. Em Gerenciar, selecione as configurações de Autenticação.
  5. Em Configurações da plataforma, selecione Aplicativos empresariais.
  6. Em Configurar Logon único com SAML, edite a Configuração básica de SAML.
  7. Na seção Identificador (ID da entidade), selecione Adicionar identificador.
  8. Insira o EntityID e o EntityID que você derivou de Como registrar o serviço de identidade do GKE com seu provedor.
  9. Clique em Salvar para salvar essas configurações.
  10. Consulte a seção Atributos e declarações para adicionar novos atributos.
  11. Em Certificados SAML, clique em Certificado (Base64) para fazer o download do certificado do provedor de identidade.
  12. Na seção Configurar app, copie o URL de login e o identificador do Azure AD.

Compartilhar detalhes do provedor

No momento de registrar o provedor, você precisa compartilhar as seguintes informações com o administrador do cluster. Esses detalhes são extraídos dos metadados do provedor e necessários no momento da configuração do serviço de identidade do GKE com SAML.

  • idpEntityID: é o identificador exclusivo do provedor de identidade. Ele corresponde ao URL do provedor e também é chamado de identificador do Azure AD.
  • idpSingleSignOnURL: é o endpoint de inscrição do usuário. Também é chamado de URL de login.
  • idpCertificateDataList: é o certificado público usado pelo provedor de identidade para a verificação de asserção SAML.

A seguir

O administrador do cluster pode configurar o serviço de identidade do GKE para clusters individuais ou uma frota.