Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
GKE Identity Service – Übersicht
GKE Identity Service ist ein Authentifizierungsdienst, der sich in Ihre vorhandenen Identitätslösungen einbinden lässt. So können Sie diese Identitätslösungen in mehreren GKE Enterprise-Umgebungen verwenden. Nutzer können sich über die Befehlszeile oder die Google Cloud Console unter Verwendung Ihres Identitätsanbieters bei Ihren GKE-Clustern anmelden und diese verwalten.
GKE Identity Service unterstützt die folgenden Identitätsanbieterprotokolle, um Nutzer zu überprüfen und zu authentifizieren, wenn sie versuchen, auf Ressourcen oder Dienste zuzugreifen:
OpenID Connect (OIDC): OIDC ist ein modernes, schlankes Authentifizierungsprotokoll, das auf dem OAuth 2.0-Autorisierungsframework basiert. Für einige bekannte OpenID-Anbieter, darunter Microsoft, werden spezifische Informationen zur Einrichtung bereitgestellt. Sie können aber auch einen beliebigen Anbieter verwenden, der OIDC implementiert.
Security Assertion Markup Language (SAML): SAML ist ein XML-basierter Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Parteien, hauptsächlich zwischen einem Identitätsanbieter und einem Dienstanbieter. Sie können GKE Identity Service verwenden, um sich mit SAML zu authentifizieren.
Lightweight Directory Access Protocol (LDAP): LDAP ist ein ausgereiftes, standardisiertes Protokoll für den Zugriff auf und die Verwaltung von Verzeichnisinformationsdiensten.
Es wird häufig zum Speichern und Abrufen von Nutzerinformationen wie Nutzernamen, Passwörtern und Gruppenmitgliedschaften verwendet. Sie können GKE Identity Service verwenden, um sich mit LDAP bei Active Directory oder einem LDAP-Server zu authentifizieren.
Unterstützte Clustertypen
Protokoll
Google Distributed Cloud
Google Distributed Cloud
GKE on AWS
GKE on Azure
Mit EKS verknüpfte Cluster
GKE
OIDC
LDAP
SAML
Andere angehängte Clustertypen werden für die Verwendung mit GKE Identity Service nicht unterstützt.
Einrichtung
Das Einrichten von GKE Identity Service für Ihre Cluster umfasst die folgenden Nutzer und Prozessschritte:
Anbieter konfigurieren
Der Plattformadministrator registriert GKE Identity Service als Clientanwendung bei seinem bevorzugten Identitätsanbieter und erhält eine Client-ID und ein Secret.
Einzelne Cluster einrichten
oder eine Flotte einrichten:
Der Clusteradministrator richtet Cluster für Ihren Identitätsdienst ein. Sie können GKE Identity Service auf Clusterbasis für lokale GKE-Cluster (VMware und Bare Metal), in AWS und in Azure einrichten. Alternativ können Sie GKE Identity Service für eine Flotte einrichten. Eine Flotte ist eine logische Gruppe von Clustern, mit der Sie für alle enthaltenen Cluster Funktionen aktivieren und die Konfiguration aktualisieren können.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2024-12-20 (UTC)."],[],[],null,["# GKE Identity Service overview\n=============================\n\nGKE Identity Service is an authentication service that integrates\nwith your existing identity solutions, allowing you to use these identity solutions across multiple\nGKE Enterprise environments. Users can access and manage your GKE clusters\nfrom the command line or from the Google Cloud console, all using your existing\nidentity provider.\n\nIf you prefer to use Google IDs to log in to your GKE clusters instead of\nan identity provider, see [Connect to registered clusters with the Connect gateway](/kubernetes-engine/enterprise/multicluster-management/gateway).\n\nSupported identity providers\n----------------------------\n\nGKE Identity Service supports the following identity provider protocols\nto verify and authenticate users when they try to access resources or services:\n\n- [OpenID Connect (OIDC)](https://openid.net/connect/): OIDC is a modern, lightweight authentication protocol built on top of the OAuth 2.0 authorization framework. We provide specific instructions for setup of some popular OpenID Connect providers, including Microsoft, but you can use any provider that implements OIDC.\n- [Security Assertion Markup Language (SAML)](https://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0.html): SAML is an XML-based standard for exchanging authentication and authorization data between parties, primarily between an identity provider (IdP) and a service provider (SP). You can use GKE Identity Service to authenticate using SAML.\n- [Lightweight Directory Access Protocol (LDAP)](https://ldap.com/): LDAP is a mature, standardized protocol for accessing and managing directory information services. It's commonly used to store and retrieve user information, such as usernames, passwords, and group memberships. You can use GKE Identity Service to authenticate using LDAP with Active Directory or an LDAP server.\n\nSupported cluster types\n-----------------------\n\nOther attached cluster types are not supported for use with GKE Identity Service.\n| **Note:** Authentication using LDAP is supported for user clusters only in VMware deployments of Google Distributed Cloud. Admin clusters on VMware cannot use LDAP providers with GKE Identity Service.\n\nSetup process\n-------------\n\nSetting up GKE Identity Service for your clusters involves the following users and process steps:\n\n1. **[Configure providers](/kubernetes-engine/enterprise/identity/setup/idp-overview)** : The *platform administrator* registers GKE Identity Service as a client application with their preferred identity provider and gets a *client ID* and *secret*.\n2. **[Set up individual clusters](/kubernetes-engine/enterprise/identity/setup/per-cluster-overview)** or **[set up your fleet](/kubernetes-engine/enterprise/identity/setup/fleet)** : The *cluster administrator* sets up clusters for your identity service. You can set up GKE Identity Service on a cluster by cluster basis for GKE clusters on-premises (both VMware and bare metal), on AWS, and on Azure. Alternatively, you can choose to set up GKE Identity Service for a fleet, which is a logical group of clusters that lets you enable functionality and update configuration across these clusters.\n3. **[Set up user access](/kubernetes-engine/enterprise/identity/setup/user-access)** : The *cluster administrator* sets up user login access to authenticate to the clusters using the [FQDN access](/kubernetes-engine/enterprise/identity/setup/user-access#fqdn-access) (recommended) or [file-based access](/kubernetes-engine/enterprise/identity/setup/user-access#file-access) approach, and optionally configures *Kubernetes [role-based access control (RBAC)](/kubernetes-engine/enterprise/identity/setup/setup-rbac)* for users on these clusters."]]
