É possível usar provedores de identidade de terceiros para autenticar nos clusters do Kubernetes registrados em uma frota. Este documento descreve os protocolos de autenticação compatíveis e os tipos de clusters que oferecem suporte a cada protocolo. Os usuários podem acessar e gerenciar os clusters na linha de comando ou no Google Cloud console, sem que você precise mudar o provedor de identidade.
Se você preferir usar os IDs do Google para fazer login nos clusters em vez de usar um provedor de identidade, consulte Conectar-se a clusters registrados com o gateway do Connect.
Provedores de identidade compatíveis
Se você tiver um provedor de identidade de terceiros, poderá usar os seguintes protocolos para autenticar nos clusters:
- OpenID Connect (OIDC): é um protocolo de autenticação moderno e leve criado com base no framework de autorização OAuth 2.0. Fornecemos instruções específicas para a configuração de alguns provedores OpenID Connect conhecidos, incluindo a Microsoft, mas você pode usar qualquer provedor que implemente o OIDC.
- Linguagem de marcação para autorização de segurança (SAML): o SAML é um padrão baseado em XML para a troca de dados de autenticação e autorização entre partes, principalmente entre um provedor de identidade (IdP) e um provedor de serviços (SP).
- Protocolo leve de acesso a diretórios (LDAP): o LDAP é um protocolo maduro, padronizado para acessar e gerenciar serviços de informações de diretório. Ele é usado com frequência para armazenar e extrair informações do usuário, como nomes de usuário, senhas e associações a grupos. É possível autenticar usando LDAP com o Active Directory ou um servidor LDAP.
Tipos de cluster compatíveis
Esse serviço de autenticação só pode ser instalado em clusters que estão registrados em uma frota. A maioria dos tipos de cluster é sempre registrada em uma frota. Para clusters do GKE em Google Cloud, é necessário registrar explicitamente os clusters na frota para usar esse serviço.
A tabela a seguir descreve os tipos de cluster que oferecem suporte à autenticação de terceiros e os protocolos específicos que podem ser usados para cada tipo:
| Tipos e protocolos de cluster compatíveis | |
|---|---|
| GDC (VMware) |
Oferece suporte aos seguintes protocolos:
|
| GDC (bare metal) |
Oferece suporte aos seguintes protocolos:
|
| GKE Google Cloud (somente membros da frota) | Oferece suporte ao OIDC |
| GKE na AWS |
Oferece suporte ao OIDC |
| GKE no Azure |
Oferece suporte ao OIDC |
As seguintes configurações não são compatíveis:
- Clusters anexados do GKE: nenhuma instalação do EKS, AKS ou outro Kubernetes é compatível. Para se conectar a esses clusters anexados do GKE, use o gateway do Connect.
- Para implantações do Google Distributed Cloud no VMware, só é possível autenticar em clusters de usuário usando o protocolo LDAP. Os clusters de administrador no VMware não oferecem suporte à autenticação com LDAP.
- Clusters do GKE em Google Cloud: os clusters do GKE precisam ser registrados na frota. Para se conectar a clusters do GKE que não estão em uma frota, use a federação de identidade de colaboradores.
Processo de configuração
A configuração da autenticação de provedores de identidade de terceiros envolve os seguintes usuários e etapas:
- Configurar provedores: O administrador da plataforma registra um aplicativo cliente com o provedor de identidade. Esse aplicativo cliente tem a configuração específica do protocolo para o Kubernetes. O administrador da plataforma recebe um ID e uma chave secreta do cliente do provedor de identidade.
Configurar clusters: o administrador do cluster configura clusters para seu serviço de identidade. Os administradores de cluster podem configurar clusters da seguinte maneira:
- Configuração no nível da frota: o administrador do cluster configura todos os clusters registrados em uma frota específica. Use esse método para configurar vários clusters de uma só vez com uma configuração semelhante. Para mais informações, consulte Configurar a autenticação no nível da frota.
Configuração de cluster individual: o administrador do cluster configura cada cluster separadamente. Use esse método para cenários em que diferentes tipos de cluster precisam de configurações de autenticação diferentes. Para mais informações, consulte os seguintes documentos:
Configurar o acesso do usuário: O administrador do cluster configura o acesso de login do usuário para autenticar nos clusters usando a abordagem de acesso por FQDN (recomendado) ou acesso baseado em arquivos e, opcionalmente, configura o controle de acesso baseado em papéis (RBAC) do Kubernetes para usuários nesses clusters.