設定 GKE Identity Service 的 SAML 提供者

本文適用於平台管理員,或貴機構中負責管理身分設定的人員。本文說明如何為 GKE Identity Service 設定所選的安全宣告標記語言 (SAML) 識別資訊提供者。

向供應商註冊 GKE Identity Service

如要向身分識別提供者註冊 GKE Identity Service,您需要下列資訊:

  • EntityID:這是代表供應商 GKE Identity Service 的專屬 ID。這項資訊衍生自 API 伺服器的網址。舉例來說,如果 APISERVER-URLhttps://cluster.company.com,則 EntityID 應為 https://cluster.company.com:11001。請注意,網址結尾沒有斜線。
  • AssertionConsumerServiceURL - 這是 GKE Identity Service 的回呼網址。供應商驗證使用者後,系統會將回應轉送至這個網址。舉例來說,如果 APISERVER-URLhttps://cluster.company.com,則 AssertionConsumerServiceURL 應為 https://cluster.company.com:11001/saml-callback

提供者設定資訊

本節提供註冊 GKE Identity Service 的其他供應商專屬資訊。如果您的供應商列於此處,請按照下列操作說明,向供應商註冊 GKE Identity Service 做為用戶端應用程式。

Azure AD

  1. 如果尚未完成上述設定,請在 Azure Active Directory 設定租戶
  2. 透過 Microsoft Identity Platform 註冊應用程式
  3. 在 Azure 入口網站中開啟「應用程式註冊」頁面,然後依名稱選取應用程式。
  4. 在「管理」下方,選取「驗證」設定。
  5. 在「平台設定」下方,選取「企業應用程式」
  6. 在「Set up Single Sign-On with SAML」(透過 SAML 設定單一登入) 頁面中,編輯「Basic SAML Configuration」(基本 SAML 設定)
  7. 在「Identifier (Entity ID)」(識別碼 (實體 ID)) 專區下方,選取「Add Identifier」(新增識別碼)
  8. 輸入從「向供應商註冊 GKE Identity 服務」取得的「EntityID」和「回覆網址」
  9. 按一下「儲存」即可儲存這些設定。
  10. 查看「屬性與聲明」部分,新增任何屬性。
  11. 在「SAML 憑證」下方,按一下「憑證 (Base64)」下載身分識別提供者憑證。
  12. 在「設定應用程式」部分,複製「登入網址」和「Azure AD 識別碼」

設定 SAML 聲明單次有效期間

為提高安全性,請將 SAML 提供者設定為發布存留時間較短的聲明,例如 10 分鐘。這項設定可在 SAML 供應商的設定中調整。

如果 GKE Identity Service 和 SAML 提供者之間的時鐘未同步,將生命週期設為少於 5 分鐘可能會導致登入問題。

分享提供者詳細資料

註冊供應商時,您必須與叢集管理員分享下列資訊。這些詳細資料是從供應商中繼資料取得,且在透過 SAML 設定 GKE Identity Service 時必須提供。

  • idpEntityID - 這是身分識別提供者的專屬 ID。這對應於供應商的網址,也稱為 Azure AD ID
  • idpSingleSignOnURL - 這是使用者註冊時重新導向的端點。這也稱為「登入網址」
  • idpCertificateDataList:這是身分識別提供者用於 SAML 聲明驗證的公開憑證。

後續步驟

叢集管理員可以為個別叢集機群設定 GKE Identity Service。