מידע על אימות באמצעות זהויות של צד שלישי

אתם יכולים להשתמש בספקי זהויות קיימים של צד שלישי כדי לבצע אימות לאשכולות Kubernetes שרשומים ב-Fleet. במסמך הזה מתוארים פרוטוקולי האימות הנתמכים וסוגי האשכולות שתומכים בכל פרוטוקול. המשתמשים יכולים לגשת לאשכולות ולנהל אותם משורת הפקודה או ממסוף Google Cloud , בלי שתצטרכו לשנות את ספק הזהויות שלכם.

אם אתם מעדיפים להשתמש במזהים של Google כדי להיכנס לאשכולות במקום להשתמש בספק זהויות, תוכלו לעיין במאמר התחברות לאשכולות רשומים באמצעות Connect gateway.

ספקי זהויות נתמכים

אם יש לכם ספק זהויות של צד שלישי, אתם יכולים להשתמש בפרוטוקולים הבאים כדי לבצע אימות לאשכולות:

• ‫OpenID Connect ‏ (OIDC): ‏ OIDC הוא פרוטוקול אימות מודרני וקל משקל שמבוסס על מסגרת ההרשאות של OAuth 2.0. אנחנו מספקים הוראות ספציפיות להגדרה של כמה ספקי OpenID Connect פופולריים, כולל מיקרוסופט, אבל אפשר להשתמש בכל ספק שמיישם OIDC.
• שפת סימון של טענות אבטחה (SAML): ‏ SAML היא תקן מבוסס-XML להחלפת נתוני אימות והרשאה בין צדדים, בעיקר בין ספק זהויות (IdP) לבין ספק שירותים (SP).
• ‫Lightweight Directory Access Protocol (LDAP): ‏ LDAP הוא פרוטוקול בוגר וסטנדרטי לגישה לשירותי מידע בספריות ולניהול שלהם. הוא משמש בדרך כלל לאחסון ולאחזור של פרטי משתמשים, כמו שמות משתמש, סיסמאות וחברות בקבוצות. אתם יכולים לבצע אימות באמצעות LDAP עם Active Directory או שרת LDAP.

סוגי אשכולות נתמכים

אפשר להתקין את שירות האימות הזה רק באשכולות שנרשמו לצי. רוב סוגי האשכולות תמיד רשומים לצי. כדי להשתמש בשירות הזה באשכולות GKE ב- Google Cloud, צריך לרשום את האשכולות בצי.

בטבלה הבאה מתוארים סוגי האשכולות שתומכים באימות של צד שלישי, והפרוטוקולים הספציפיים שאפשר להשתמש בהם בכל סוג:

סוגים ופרוטוקולים נתמכים של אשכולות
GDC (VMware)	תומך בפרוטוקולים הבאים: OIDC ‫LDAP (לאשכולות משתמשים) SAML
‫GDC (Bare Metal)	תומך בפרוטוקולים הבאים: OIDC LDAP SAML
GKE on Google Cloud (רק חברים ב-Fleet)	תמיכה ב-OIDC
‫GKE ב-AWS	תמיכה ב-OIDC
‫GKE ב-Azure	תמיכה ב-OIDC

אין תמיכה בהגדרות הבאות:

• GKE attached clusters: אין תמיכה בהתקנות של EKS,‏ AKS או Kubernetes אחרות. כדי להתחבר לאשכולות GKE המצורפים האלה, צריך להשתמש בשער החיבור.
• בפריסות של Google Distributed Cloud ב-VMware, אפשר לבצע אימות רק לאשכולות משתמשים באמצעות פרוטוקול LDAP. ב-VMware, אשכולות אדמין לא תומכים באימות באמצעות LDAP.
• אשכולות GKE ב- Google Cloud: אשכולות GKE צריכים להיות רשומים ב-Fleet. כדי להתחבר לאשכולות GKE שלא נמצאים בצי, משתמשים באיחוד שירותי אימות הזהות של כוח עבודה.

תהליך ההגדרה

הגדרת אימות מספקי זהויות מצד שלישי כוללת את המשתמשים והשלבים הבאים:

1. הגדרת ספקים: האדמין של הפלטפורמה רושם אפליקציית לקוח אצל ספק הזהויות שלו. באפליקציית הלקוח הזו יש הגדרות תצורה ספציפיות לפרוטוקול עבור Kubernetes. אדמין הפלטפורמה מקבל מזהה לקוח וסוד מספק הזהויות.

2. הגדרת אשכולות: מנהל האשכול מגדיר אשכולות עבור שירות הזהויות שלכם. אדמינים של אשכולות יכולים להגדיר אשכולות באופן הבא:

   • הגדרה ברמת ה-Fleet: אדמין האשכול מגדיר את כל האשכולות שרשומים ב-Fleet ספציפי. אפשר להשתמש בשיטה הזו כדי להגדיר כמה אשכולות בבת אחת עם הגדרה דומה. מידע נוסף מופיע במאמר בנושא הגדרת אימות ברמת הצי.

   • הגדרה של כל אשכול בנפרד: מנהל האשכול מגדיר כל אשכול בנפרד. משתמשים בשיטה הזו בתרחישים שבהם סוגים שונים של אשכולות צריכים הגדרות אימות שונות. מידע נוסף זמין במאמרים הבאים:

     • הגדרת אשכולות לאימות באמצעות OIDC
     • הגדרת אשכולות לאימות באמצעות SAML
     • הגדרת אשכולות לאימות באמצעות LDAP

3. הגדרת גישת משתמשים: אדמין האשכול מגדיר גישת התחברות למשתמשים כדי לאמת את האשכולות באמצעות גישת FQDN (מומלצת) או גישה מבוססת-קובץ, ואם רוצים, מגדיר בקרת גישה מבוססת-תפקידים (RBAC) של Kubernetes למשתמשים באשכולות האלה.