Visão geral do serviço de identidade do GKE

O GKE Identity Service é um serviço de autenticação que se integra às suas soluções de identidade atuais, permitindo que você as use em vários ambientes do GKE Enterprise. Os usuários podem acessar e gerenciar os clusters do GKE na linha de comando ou no console do Google Cloud. Tudo isso usando o provedor de identidade atual.

Se você preferir usar os IDs do Google para fazer login nos clusters do GKE em vez de um provedor de identidade, consulte Conectar-se a clusters registrados com o gateway do Connect.

Provedores de identidade compatíveis

O GKE Identity Service oferece suporte aos seguintes protocolos de provedor de identidade para verificar e autenticar usuários quando eles tentam acessar recursos ou serviços:

  • OpenID Connect (OIDC): é um protocolo de autenticação moderno e leve criado com base no framework de autorização OAuth 2.0. Fornecemos instruções específicas para a configuração de alguns provedores OpenID Connect conhecidos, incluindo a Microsoft, mas você pode usar qualquer provedor que implemente o OIDC.
  • Linguagem de marcação para autorização de segurança (SAML): o SAML é um padrão baseado em XML para a troca de dados de autenticação e autorização entre partes, principalmente entre um provedor de identidade (IdP) e um provedor de serviços (SP). É possível usar o serviço de identidade do GKE para autenticação usando SAML.
  • Protocolo leve de acesso a diretórios (LDAP): o LDAP é um protocolo maduro e padronizado para acessar e gerenciar serviços de informações de diretório. Ele é usado geralmente para armazenar e extrair informações do usuário, como nomes de usuário, senhas e associações a grupos. É possível usar o GKE Identity Service para fazer a autenticação usando LDAP com o Active Directory ou um servidor LDAP.

Tipos de cluster compatíveis

Protocolo Google Distributed Cloud Google Distributed Cloud GKE na AWS GKE no Azure Clusters anexados ao EKS GKE
OIDC
LDAP
SAML

Outros tipos de clusters anexados não podem ser usados com o serviço de identidade do GKE.

Processo de configuração

A configuração do GKE Identity Service para seus clusters envolve os seguintes usuários e etapas de processo:

  1. Configurar provedores: o administrador da plataforma registra o GKE Identity Service como um aplicativo cliente com o provedor de identidade de sua preferência e recebe um secret e um ID de cliente.
  2. Configurar clusters individuais ou configurar sua frota: o administrador do cluster configura clusters para seu serviço de identidade. É possível configurar o GKE Identity Service em um cluster por cluster para clusters do GKE no local (VMware e bare metal), no Azure e na AWS. Como alternativa, configure o GKE Identity Service para uma frota, que é um grupo lógico de clusters que permite ativar a funcionalidade e atualizar a configuração nesses clusters.
  3. Configurar o acesso do usuário: o administrador do cluster configura o acesso de login do usuário para autenticar nos clusters usando a abordagem de acesso por FQDN (recomendado) ou acesso baseado em arquivos e, opcionalmente, configura o controle de acesso baseado em papéis (RBAC) do Kubernetes para usuários nesses clusters.