Ringkasan GKE Identity Service

Identity Service GKE adalah layanan autentikasi yang terintegrasi dengan solusi identitas yang ada, sehingga Anda dapat menggunakan solusi identitas ini di beberapa lingkungan GKE Enterprise. Pengguna dapat mengakses dan mengelola cluster GKE Anda dari command line atau dari konsol Google Cloud , semuanya menggunakan penyedia identitas yang ada.

Jika Anda lebih suka menggunakan ID Google untuk login ke cluster GKE, bukan penyedia identitas, lihat Menghubungkan ke cluster terdaftar dengan gateway Connect.

Penyedia identitas yang didukung

Layanan Identitas GKE mendukung protokol penyedia identitas berikut untuk memverifikasi dan mengautentikasi pengguna saat mereka mencoba mengakses resource atau layanan:

  • OpenID Connect (OIDC): OIDC adalah protokol autentikasi yang modern dan ringan yang dibuat di atas framework otorisasi OAuth 2.0. Kami menyediakan petunjuk khusus untuk penyiapan beberapa penyedia OpenID Connect populer, termasuk Microsoft, tetapi Anda dapat menggunakan penyedia apa pun yang menerapkan OIDC.
  • Security Assertion Markup Language (SAML): SAML adalah standar berbasis XML untuk bertukar data autentikasi dan otorisasi antarpihak, terutama antara penyedia identitas (IdP) dan penyedia layanan (SP). Anda dapat menggunakan Identity Service GKE untuk melakukan autentikasi menggunakan SAML.
  • Lightweight Directory Access Protocol (LDAP): LDAP adalah protokol standar yang matang untuk mengakses dan mengelola layanan informasi direktori. Ini biasanya digunakan untuk menyimpan dan mengambil informasi pengguna, seperti nama pengguna, sandi, dan keanggotaan grup. Anda dapat menggunakan GKE Identity Service untuk melakukan autentikasi menggunakan LDAP dengan Active Directory atau server LDAP.

Jenis cluster yang didukung

Protokol GDC (VMware) GDC (bare metal) GKE di AWS GKE di Azure Cluster terpasang EKS GKE di Google Cloud
OIDC
LDAP
SAML

Jenis cluster lain yang dilampirkan tidak didukung untuk digunakan dengan Identity Service GKE.

Proses penyiapan

Penyiapan Identity Service GKE untuk cluster Anda melibatkan pengguna dan langkah-langkah proses berikut:

  1. Mengonfigurasi penyedia: Administrator platform mendaftarkan Identity Service GKE sebagai aplikasi klien dengan penyedia identitas pilihan mereka dan mendapatkan client ID dan rahasia.
  2. Menyiapkan setiap cluster atau menyiapkan fleet: Administrator cluster menyiapkan cluster untuk layanan identitas Anda. Anda dapat menyiapkan Identity Service GKE berdasarkan cluster untuk cluster GKE on-premise (VMware dan bare metal), di AWS, dan di Azure. Atau, Anda dapat memilih untuk menyiapkan Identity Service GKE untuk fleet, yang merupakan grup cluster logis yang memungkinkan Anda mengaktifkan fungsi dan memperbarui konfigurasi di seluruh cluster ini.
  3. Menyiapkan akses pengguna: Administrator cluster menyiapkan akses login pengguna untuk mengautentikasi ke cluster menggunakan pendekatan akses FQDN (direkomendasikan) atau akses berbasis file, dan secara opsional mengonfigurasi kontrol akses berbasis peran (RBAC) Kubernetes untuk pengguna di cluster ini.