Mengonfigurasi penyedia OIDC untuk melakukan autentikasi ke cluster

Dokumen ini ditujukan untuk administrator platform, atau siapa pun yang mengelola penyiapan identitas di organisasi Anda. Dokumen ini menjelaskan cara mengonfigurasi penyedia identitas OpenID Connect (OIDC) yang Anda pilih untuk autentikasi ke cluster Kubernetes yang tidak ada di on Google Cloud.

Mendaftarkan aplikasi klien ke penyedia Anda

Selama alur autentikasi untuk pengguna, cluster menggunakan client ID dan secret untuk terhubung ke penyedia identitas Anda. Anda bisa mendapatkan client ID dan secret dari penyedia identitas dengan mengonfigurasi aplikasi klien untuk Kubernetes. Prosedur untuk menyiapkan aplikasi klien bergantung pada penyedia Anda. Anda dapat menemukan beberapa detail pendaftaran khusus untuk penyedia populer di bagian berikutnya.

Untuk URL pengalihan, tentukan nilai berikut:

  • https://console.cloud.google.com/kubernetes/oidc adalah URL pengalihan untuk Google Cloud konsol.
  • http://localhost:PORT/callback adalah URL pengalihan untuk gcloud CLI. Anda dapat menentukan nomor port apa pun yang lebih tinggi dari 1024.
  • APISERVER_URL:11001/finish-login adalah URL pengalihan jika Anda memilih untuk melakukan autentikasi menggunakan akses FQDN. Ganti APISERVER_URL dengan FQDN server Kubernetes API cluster. Misalnya, jika APISERVER_URL adalah https://apiserver.company.com, maka redirect_uri harus https://apiserver.company.com:11001/finish-login.

Simpan client ID dan secret yang Anda dapatkan dari langkah pendaftaran. Bagikan detail ini kepada administrator cluster yang perlu menyiapkan cluster mereka.

Informasi penyiapan penyedia identitas

Bagian ini menyediakan langkah-langkah untuk mendaftarkan aplikasi klien dengan Microsoft Active Directory Federation Services (AD FS) atau dengan Microsoft Entra ID.

Microsoft AD FS

Gunakan serangkaian wizard pengelolaan AD FS untuk mengonfigurasi server AD FS dan database pengguna AD.

  1. Buka panel pengelolaan AD FS.

  2. Pilih Application Groups > Actions > Add an Application Group.

  3. Pilih Server Application. Masukkan nama dan deskripsi pilihan Anda. Klik Next.

  4. Masukkan dua URL pengalihan Anda, seperti yang ditentukan di atas. Anda akan diberi client ID. AD FS mengidentifikasi cluster menggunakan client ID ini. Simpan client ID untuk nanti.

  5. Pilih Generate a shared secret. Mekanisme autentikasi Kubernetes menggunakan secret ini untuk melakukan autentikasi ke server AD FS. Simpan secret untuk nanti.

Mengonfigurasi grup keamanan (opsional)

  1. Di pengelolaan AD FS, pilih Relying party trusts > Add a new relying party trust.

  2. Pilih Claims aware, lalu klik Start.

  3. Pilih Enter data about relying party manually.

  4. Masukkan nama tampilan.

  5. Lewati dua langkah berikutnya.

  6. Masukkan ID kepercayaan Pihak tepercaya. Saran: token-groups-claim.

  7. Untuk Access control policy, pilih Permit everyone. Artinya, semua pengguna membagikan informasi grup keamanan mereka dengan gcloud CLI dan Google Cloud konsol.

  8. Klik Finish.

Memetakan atribut LDAP ke nama klaim

  1. Di pengelolaan AD FS, pilih Relying party trusts > Edit claim issuance policy.

  2. Pilih Send LDAP Attributes as Claims, lalu klik Next.

  3. Untuk Claim rule name, masukkan groups.

  4. Untuk Attribute store, pilih Active Directory.

  5. Di tabel, untuk LDAP Attribute, pilih:

    • AD FS versi 5.0 dan yang lebih baru: Token-Groups Qualified by Domain name
    • AD FS versi sebelum 5.0: Token Groups - Qualified Names

  6. Untuk Outgoing Claim Type, pilih:

    • AD FS versi 5.0 dan yang lebih baru: Group
    • AD FS versi sebelum 5.0: groups

  7. Klik Finish, lalu klik Apply.

Mendaftarkan aplikasi klien Kubernetes dengan AD FS

Buka jendela PowerShell dalam mode Administrator, lalu masukkan perintah ini:

Grant-AD FSApplicationPermission `
  -ClientRoleIdentifier "[CLIENT_ID]" `
 -ServerRoleIdentifier [SERVER_ROLE_IDENTIFIER] `
  -ScopeName "allatclaims", "openid"

Ganti kode berikut:

  • [CLIENT_ID] adalah client ID yang Anda peroleh sebelumnya.

  • [SERVER_ROLE_IDENTIFIER] adalah ID klaim yang Anda masukkan sebelumnya. Ingat bahwa ID yang disarankan adalah token-groups-claim.

Microsoft Entra ID

Untuk mendaftarkan klien OAuth dengan Microsoft Entra ID, selesaikan langkah-langkah di link berikut:

  1. Jika belum melakukannya, Siapkan tenant Microsoft Entra.

  2. Daftarkan aplikasi di Microsoft Entra ID.

  3. Di pusat admin Microsoft Entra, buka halaman App registrations , lalu pilih aplikasi Anda. Halaman ringkasan aplikasi akan terbuka.

  4. Buat rahasia klien:

    1. Di menu navigasi, klik Certificates &Secrets.
    2. Klik tab Client secrets.
    3. Klik New client secret. Beri nama rahasia Anda, lalu klik Add.
    4. Simpan Value rahasia di lokasi yang aman. Anda tidak akan dapat mengambilnya setelah menutup atau memuat ulang halaman.

    Untuk mengetahui informasi selengkapnya, lihat Menambahkan dan mengelola kredensial aplikasi di Microsoft Entra ID.

  5. Tambahkan URI pengalihan:

    1. Di menu navigasi, klik Authentication.
    2. Di bagian Platform configurations, klik Add a platform. Panel Configure platforms akan terbuka.
    3. Klik Web.
    4. Di kolom Redirect URIs, masukkan http://localhost:PORT/callback untuk alur login gcloud CLI. Pilih PORT yang lebih besar dari 1024.
    5. Klik Configure.
    6. Klik Add URI untuk menambahkan URI lain.
    7. Masukkan https://console.cloud.google.com/kubernetes/oidc untuk alur login konsol.Google Cloud
    8. Simpan konfigurasi Anda.

    Untuk mengetahui informasi selengkapnya, lihat Cara menambahkan URI pengalihan ke aplikasi Anda.

Pendaftaran klien Anda kini selesai. Anda harus memiliki info berikut untuk dibagikan kepada administrator cluster:

  • Issuer URI: https://login.microsoftonline.com/TENANT_ID/v2.0. Tenant ID ditampilkan sebagai Directory (tenant) ID di halaman ringkasan aplikasi di pusat admin Microsoft Entra.

  • Client ID: Client ID ditampilkan sebagai Application (client) ID di halaman ringkasan aplikasi di pusat admin Microsoft Entra.

  • Rahasia Klien: Nilai rahasia klien yang Anda buat saat Anda mendaftarkan aplikasi klien. Jika tidak memiliki akses ke nilai ini, buat rahasia baru.

Penyiapan lanjutan untuk Microsoft Entra ID

Pertimbangkan untuk menggunakan penyiapan lanjutan ini hanya jika Anda ingin menyiapkan cluster dengan kebijakan otorisasi berbasis grup Microsoft Entra ID yang penggunanya termasuk dalam lebih dari 200 grup Microsoft Entra ID. Penyiapan lanjutan untuk Microsoft Entra ID mendukung platform berikut:

  • Google Distributed Cloud lokal (VMware dan bare metal): Dari versi 1.14
  • GKE di AWS: Dari versi 1.14 (Kubernetes versi 1.25 atau yang lebih baru)
  • GKE di Azure: Dari versi 1.14 (Kubernetes versi 1.25 atau yang lebih baru)

Sebelum memulai, pastikan setiap pengguna memiliki alamat email terkait yang dikonfigurasi sebagai ID mereka di Microsoft Entra ID. Alamat email ini digunakan untuk menegaskan identitas pengguna dan mengautentikasi permintaan.

Anda harus memastikan bahwa klien yang Anda daftarkan di bagian sebelumnya memiliki izin yang didelegasikan untuk mendapatkan informasi pengguna dan grup dari Microsoft Graph API. Izin ini memungkinkan mekanisme autentikasi Kubernetes mengakses endpoint Microsoft Graph API tempat informasi grup diambil. Tanpa langkah ini, cluster tidak dapat memperoleh informasi grup untuk pengguna, yang menyebabkan kebijakan otorisasi RBAC berbasis grup tidak berfungsi seperti yang diharapkan.

Anda harus memiliki izin admin global atau admin organisasi untuk melakukan langkah penyiapan ini.

  1. Login ke pusat admin Microsoft Entra.
  2. Pilih tenant Microsoft Entra yang memiliki aplikasi klien Anda.
  3. Pilih App registrations, lalu pilih aplikasi klien Anda.
  4. Pilih API permissions - Add a permission - Microsoft Graph - Delegated permissions.
  5. Di tab Group, centang Group.Read.All. Di tab User, centang User.Read.All.
  6. Klik Add permissions untuk menyelesaikan proses.
  7. Berikan izin atas nama semua pengguna dengan mengklik Grant admin consent for.... Untuk mengetahui informasi selengkapnya, lihat Selengkapnya tentang izin API dan izin admin.

Membagikan detail penyedia identitas

Bagikan informasi penyedia berikut kepada administrator cluster Anda untuk penyiapan cluster:

  • URI penerbit penyedia
  • Rahasia klien
  • ID klien
  • URI pengalihan dan port yang Anda tentukan untuk gcloud CLI
  • Kolom nama pengguna (klaim) yang digunakan penyedia Anda untuk mengidentifikasi pengguna dalam tokennya (default yang diasumsikan saat mengonfigurasi cluster adalah sub)
  • Kolom nama grup (klaim) yang digunakan penyedia Anda untuk menampilkan grup keamanan, jika ada.
  • Cakupan atau parameter tambahan yang khusus untuk penyedia Anda, seperti yang dijelaskan di bagian sebelumnya. Misalnya, jika server otorisasi Anda meminta izin untuk autentikasi dengan Microsoft Entra ID dan Okta, admin cluster harus menentukan prompt=consent sebagai parameter. Jika Anda telah mengonfigurasi AD FS untuk memberikan informasi grup keamanan, parameter tambahan yang relevan adalah resource=token-groups-claim (atau apa pun yang Anda pilih sebagai ID kepercayaan pihak tepercaya).
  • (Opsional) Jika penyedia Anda tidak menggunakan sertifikat yang ditandatangani oleh otoritas sertifikat publik (misalnya, jika Anda menggunakan sertifikat yang ditandatangani sendiri), Anda akan memerlukan sertifikat (atau rantai sertifikat) penyedia identitas. Sertifikat (atau rantai sertifikat) harus berisi sertifikat root minimal (rantai parsial diterima, selama rantai tersebut berdekatan dengan sertifikat root). Saat memberikan nilai ini di ClientConfig, nilai tersebut harus diformat sebagai string berenkode base64. Untuk membuat string, gabungkan sertifikat berenkode PEM lengkap ke dalam satu string, lalu enkode base64.

Untuk mengetahui informasi selengkapnya tentang parameter konfigurasi untuk cluster, lihat Mengonfigurasi cluster.

Langkah berikutnya