Puedes usar proveedores de identidad externos existentes para autenticarte en tus clústeres de Kubernetes. En este documento, se describen los protocolos de autenticación admitidos y los tipos de clústeres que admiten cada protocolo. Los usuarios pueden acceder a tus clústeres y administrarlos desde la línea de comandos o desde la consola deGoogle Cloud , sin necesidad de que cambies tu proveedor de identidad.
Si prefieres usar IDs de Google para acceder a tus clústeres de GKE en lugar de un proveedor de identidad, consulta Conéctate a clústeres registrados con la puerta de enlace de Connect.
Proveedores de identidad compatibles
Si tienes un proveedor de identidad de terceros, puedes usar los siguientes protocolos para autenticarte en tus clústeres:
- OpenID Connect (OIDC): OIDC es un protocolo de autenticación moderno y ligero que se compila sobre el framework de autorización OAuth 2.0. Proporcionamos instrucciones específicas para la configuración de algunos proveedores de OpenID Connect populares, incluido Microsoft, pero puedes usar cualquier proveedor que implemente OIDC.
- Lenguaje de marcado para confirmaciones de seguridad (SAML): SAML es un estándar basado en XML para el intercambio de datos de autenticación y autorización entre las partes, principalmente entre un proveedor de identidad (IdP) y un proveedor de servicios (SP).
- Protocolo ligero de acceso a directorios (LDAP): El LDAP es un protocolo estandarizado y maduro para acceder a servicios de información de directorios y administrarlos. Por lo general, se usa para almacenar y recuperar información del usuario, como nombres de usuario, contraseñas y membresías de grupos. Puedes autenticarte con LDAP a través de Active Directory o un servidor LDAP.
Tipos de clústeres compatibles
| Protocolo | GDC (VMware) | GDC (bare metal) | GKE en AWS | GKE en Azure | GKE en Google Cloud |
|---|---|---|---|---|---|
| OIDC | |||||
| LDAP | |||||
| SAML |
No puedes autenticarte en otros tipos de clústeres conectados desde proveedores de identidad de terceros.
Proceso de configuración
La configuración de la autenticación desde proveedores de identidad de terceros implica los siguientes usuarios y pasos:
- Configura proveedores: El administrador de la plataforma registra una aplicación cliente con su proveedor de identidad. Esta aplicación cliente tiene la configuración específica del protocolo para Kubernetes. El administrador de la plataforma obtiene un ID de cliente y un secreto del proveedor de identidad.
- Configura clústeres individuales o configura tu flota: el administrador del clúster configura clústeres para tu servicio de identidad. Los administradores de clústeres pueden configurar clústeres individuales para Google Distributed Cloud (tanto VMware como equipos físicos), GKE en AWS o GKE en Azure. Como alternativa, puedes configurar una flota completa, que es un grupo lógico de clústeres que te permite habilitar la funcionalidad y actualizar la configuración entre estos clústeres.
- Configura el acceso de los usuarios: El administrador del clúster configura el acceso de acceso de los usuarios para autenticarse en los clústeres con el enfoque de acceso de FQDN (recomendado) o acceso basado en archivos y, de forma opcional, configura el control de acceso basado en roles (RBAC) de Kubernetes para los usuarios de estos clústeres.