Puedes usar proveedores de identidad de terceros existentes para autenticarte en tus clústeres de Kubernetes registrados en una flota. En este documento, se describen los protocolos de autenticación admitidos y los tipos de clústeres que admiten cada protocolo. Los usuarios pueden acceder a tus clústeres y administrarlos desde la línea de comandos o desde la consola de Google Cloud , sin necesidad de que cambies tu proveedor de identidad.
Si prefieres usar IDs de Google para acceder a tus clústeres en lugar de usar un proveedor de identidad, consulta Conéctate a clústeres registrados con la puerta de enlace de Connect.
Proveedores de identidad compatibles
Si tienes un proveedor de identidad de terceros, puedes usar los siguientes protocolos para autenticarte en tus clústeres:
- OpenID Connect (OIDC): OIDC es un protocolo de autenticación moderno y ligero que se compila sobre el framework de autorización OAuth 2.0. Proporcionamos instrucciones específicas para la configuración de algunos proveedores de OpenID Connect populares, incluido Microsoft, pero puedes usar cualquier proveedor que implemente OIDC.
- Lenguaje de marcado para confirmaciones de seguridad (SAML): SAML es un estándar basado en XML para el intercambio de datos de autenticación y autorización entre las partes, principalmente entre un proveedor de identidad (IdP) y un proveedor de servicios (SP).
- Protocolo ligero de acceso a directorios (LDAP): El LDAP es un protocolo estandarizado y maduro para acceder a servicios de información de directorios y administrarlos. Por lo general, se usa para almacenar y recuperar información del usuario, como nombres de usuario, contraseñas y membresías de grupos. Puedes autenticarte con LDAP a través de Active Directory o un servidor LDAP.
Tipos de clústeres compatibles
Este servicio de autenticación solo se puede instalar en clústeres registrados en una flota. La mayoría de los tipos de clústeres siempre se registran en una flota. En el caso de los clústeres de GKE en Google Cloud, debes registrar los clústeres de forma explícita en tu flota para usar este servicio.
En la siguiente tabla, se describen los tipos de clústeres que admiten la autenticación de terceros y los protocolos específicos que puedes usar para cada tipo:
| Tipos y protocolos de clústeres admitidos | |
|---|---|
| GDC (VMware) |
Admite los siguientes protocolos:
|
| GDC (bare metal) |
Admite los siguientes protocolos:
|
| GKE en Google Cloud (solo para miembros de la flota) | Es compatible con OIDC |
| GKE en AWS |
Es compatible con OIDC |
| GKE en Azure |
Es compatible con OIDC |
No se admiten los siguientes parámetros de configuración:
- Clústeres conectados de GKE: No se admiten instalaciones de EKS, AKS ni otros tipos de Kubernetes. Para conectarte a estos clústeres de GKE conectados, usa la puerta de enlace de Connect.
- En las implementaciones de VMware de Google Distributed Cloud, solo puedes autenticarte en clústeres de usuarios con el protocolo LDAP. Los clústeres de administrador en VMware no admiten la autenticación con LDAP.
- Clústeres de GKE en Google Cloud: Tus clústeres de GKE deben estar registrados en tu flota. Para conectarte a clústeres de GKE que no están en una flota, usa la federación de identidades de personal.
Proceso de configuración
La configuración de la autenticación desde proveedores de identidad externos implica los siguientes usuarios y pasos:
- Configura proveedores: El administrador de la plataforma registra una aplicación cliente con su proveedor de identidad. Esta aplicación cliente tiene la configuración específica del protocolo para Kubernetes. El administrador de la plataforma obtiene un ID de cliente y un secreto del proveedor de identidad.
Configura clústeres: El administrador del clúster configura clústeres para tu servicio de identidad. Los administradores de clústeres pueden configurarlos de la siguiente manera:
- Configuración a nivel de la flota: El administrador del clúster configura todos los clústeres registrados en una flota específica. Usa este método para configurar varios clústeres a la vez con una configuración similar. Para obtener más información, consulta Configura la autenticación a nivel de la flota.
Configuración de clústeres individuales: El administrador del clúster configura cada clúster por separado. Usa este método en situaciones en las que diferentes tipos de clústeres necesitan diferentes configuraciones de autenticación. Para obtener más información, consulta los siguientes documentos:
Configura el acceso de los usuarios: El administrador del clúster configura el acceso de acceso de los usuarios para autenticarse en los clústeres con el enfoque de acceso de FQDN (recomendado) o acceso basado en archivos y, de forma opcional, configura el control de acceso basado en roles (RBAC) de Kubernetes para los usuarios de estos clústeres.