Você pode usar provedores de identidade de terceiros para autenticar seus clusters do Kubernetes. Este documento descreve os protocolos de autenticação compatíveis e os tipos de clusters que oferecem suporte a cada protocolo. Os usuários podem acessar e gerenciar os clusters na linha de comando ou no console doGoogle Cloud , sem precisar mudar o provedor de identidade.
Se você preferir usar os IDs do Google para fazer login nos clusters do GKE em vez de um provedor de identidade, consulte Conectar-se a clusters registrados com o gateway do Connect.
Provedores de identidade compatíveis
Se você tiver um provedor de identidade de terceiros, use os seguintes protocolos para autenticar nos clusters:
- OpenID Connect (OIDC): é um protocolo de autenticação moderno e leve criado com base no framework de autorização OAuth 2.0. Fornecemos instruções específicas para a configuração de alguns provedores OpenID Connect conhecidos, incluindo a Microsoft, mas você pode usar qualquer provedor que implemente o OIDC.
- Linguagem de marcação para autorização de segurança (SAML): o SAML é um padrão baseado em XML para a troca de dados de autenticação e autorização entre partes, principalmente entre um provedor de identidade (IdP) e um provedor de serviços (SP).
- Protocolo leve de acesso a diretórios (LDAP): o LDAP é um protocolo maduro e padronizado para acessar e gerenciar serviços de informações de diretório. Ele é usado geralmente para armazenar e extrair informações do usuário, como nomes de usuário, senhas e associações a grupos. É possível fazer a autenticação usando LDAP com o Active Directory ou um servidor LDAP.
Tipos de cluster compatíveis
| Protocolo | GDC (VMware) | GDC (bare metal) | GKE na AWS | GKE no Azure | GKE em Google Cloud |
|---|---|---|---|---|---|
| OIDC | |||||
| LDAP | |||||
| SAML |
Não é possível se autenticar em outros tipos de cluster anexados usando provedores de identidade de terceiros.
Processo de configuração
A configuração da autenticação de provedores de identidade terceirizados envolve os seguintes usuários e etapas:
- Configurar provedores: o administrador da plataforma registra um aplicativo cliente com o provedor de identidade. Esse aplicativo cliente tem a configuração específica do protocolo para o Kubernetes. O administrador da plataforma recebe um ID do cliente e uma chave secreta do provedor de identidade.
- Configurar clusters individuais ou configurar sua frota: o administrador do cluster configura clusters para seu serviço de identidade. Os administradores de cluster podem configurar clusters individuais para o Google Distributed Cloud (VMware e bare metal), o GKE na AWS ou o GKE no Azure. Como alternativa, configure uma frota inteira, que é um grupo lógico de clusters que permite ativar a funcionalidade e atualizar a configuração nesses clusters.
- Configurar o acesso do usuário: o administrador do cluster configura o acesso de login do usuário para autenticar nos clusters usando a abordagem de acesso por FQDN (recomendado) ou acesso baseado em arquivos e, opcionalmente, configura o controle de acesso baseado em papéis (RBAC) do Kubernetes para usuários nesses clusters.