Connetti un provider di identità esistente

Questa pagina spiega come connettere l'appliance air-gapped Google Distributed Cloud (GDC) al provider di identità (IdP) esistente della tua organizzazione. Un IdP è un sistema che gestisce e protegge centralmente le identità degli utenti, fornendo servizi di autenticazione. Il collegamento a un IdP esistente consente agli utenti di accedere a GDC utilizzando le credenziali della propria organizzazione, senza dover creare o gestire account separati all'interno di GDC. Questa procedura garantisce un'esperienza di accesso semplice e sicura. Poiché un IdP è una risorsa globale, gli utenti possono accedere a GDC tramite lo stesso IdP indipendentemente dalla zona in cui lavorano.

Dopo aver configurato il provider di identità iniziale e averlo collegato a un provider di identità, puoi collegare altri provider di identità esistenti utilizzando la console GDC.

Puoi connetterti a un provider di identità esistente utilizzando uno dei seguenti metodi:

Prima di iniziare

Per ottenere le autorizzazioni necessarie per connettere un provider di identità esistente, chiedi all'amministratore IAM dell'organizzazione di concederti il ruolo Amministratore IAM dell'organizzazione. L'amministratore iniziale specificato durante la connessione del provider di identità deve avere anche il ruolo Amministratore IAM dell'organizzazione assegnato.

Connettersi a un provider di identità esistente

Per connettere il provider di identità, devi disporre di un singolo ID client e secret del tuo provider di identità. Puoi connetterti a un provider OIDC o SAML esistente utilizzando la console.

Connettersi a un provider OIDC esistente

  1. Accedi alla console GDC. L'esempio seguente mostra la console dopo l'accesso a un'organizzazione denominata org-1: Pagina di benvenuto della console con link di accesso rapido alle attività comuni.
  2. Nel menu di navigazione, fai clic su Identity and Access > Identity.
  3. Fai clic su Configura nuovo provider di identità.

  4. Nella sezione Configura provider di identità, completa i seguenti passaggi e fai clic su Avanti:

    1. Nell'elenco Provider identità, seleziona Open ID Connect (OIDC).
    2. Inserisci un nome del provider di identità.
    3. Nel campo URL Google Distributed Cloud, inserisci l'URL che utilizzi per accedere a GDC.
    4. Nel campo URI dell'emittente, inserisci l'URL a cui vengono inviate le richieste di autorizzazione al tuo provider di identità. Il server API Kubernetes utilizza questo URL per rilevare le chiavi pubbliche per la verifica dei token. L'URL deve utilizzare HTTPS.
    5. Nel campo ID client, inserisci l'ID dell'applicazione client che effettua richieste di autenticazione al provider identità.
      1. Nella sezione Client secret, seleziona Configura client secret (consigliato).
      2. Nel campo Client secret, inserisci il client secret, che è un secret condiviso tra il tuo provider di identità e l'appliance GDC air-gapped.

    6. (Facoltativo) Nel campo Prefisso, inserisci un prefisso. Il prefisso è il campo Prefisso del provider di identità, inserisci un prefisso. Il prefisso viene aggiunto all'inizio delle rivendicazioni utente e delle rivendicazioni di gruppo. I prefissi vengono utilizzati per distinguere le diverse configurazioni del provider di identità. Ad esempio, se imposti un prefisso di myidp, un'attestazione utente potrebbe essere myidpusername@example.com e un'attestazione gruppo potrebbe essere myidpgroup@example.com. Il prefisso deve essere incluso anche quando vengono assegnate autorizzazioni dicontrollo dell'accessoo dell'accesso basato sui ruoli (RBAC) ai gruppi.

    7. (Facoltativo) Nella sezione Crittografia, seleziona Attiva token criptati.

      Per attivare i token di crittografia, devi disporre del ruolo di amministratore della federazione IdP. Chiedi all'amministratore IAM dell'organizzazione di concederti il ruolo Amministratore federazione IdP (idp-federation-admin).

      1. Nel campo ID chiave, inserisci l'ID chiave. L'ID chiave è una chiave pubblica di un token JWT (JSON Web Encryption). Il tuo provider OIDC configura e fornisce un ID chiave.
      2. Nel campo Chiave di decrittografia, inserisci la chiave di decrittografia in formato PEM. La chiave di decriptazione è una chiave asimmetrica che decripta una crittografia. Il provider OIDC configura e fornisce una chiave di decrittografia.

  5. Nella sezione Configura attributi, completa i seguenti passaggi e fai clic su Avanti:

    1. Nel campo Autorità di certificazione per il provider OIDC, inserisci un certificato con codifica PEM base64 per il provider di identità. Per ulteriori informazioni, consulta la pagina https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail.
      1. Per creare la stringa, codifica il certificato, incluse le intestazioni, in base64.
      2. Includi la stringa risultante come riga singola. Esempio: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==
    2. Nel campo Rivendicazione di gruppo, inserisci il nome della rivendicazione nel token del provider di identità che contiene le informazioni sul gruppo dell'utente.
    3. Nel campo Rivendicazione utente, inserisci la rivendicazione per identificare ogni utente. L'affermazione predefinita per molti fornitori è sub. Puoi scegliere altre attestazioni, ad esempio email o name, a seconda del provider di identità. Alle attestazioni diverse da email viene aggiunto come prefisso l'URL dell'emittente per evitare conflitti di denominazione.
    4. (Facoltativo) Se il tuo provider di identità utilizza GKE Identity Service, nella sezione Attributi personalizzati, fai clic su Aggiungi e inserisci coppie chiave-valore per ulteriori rivendicazioni relative a un utente, ad esempio il reparto o l'URL dell'immagine del profilo.
    5. Se il tuo provider di identità richiede ambiti aggiuntivi, nel campo Ambiti, inserisci gli ambiti separati da virgole da inviare al provider di identità. Ad esempio, Microsoft Azure e Okta richiedono l'ambito offline_access.
    6. Nella sezione Parametri aggiuntivi, inserisci eventuali coppie chiave-valore aggiuntive (separate da virgole) richieste dal tuo provider di identità. Se autorizzi un gruppo, inserisci resource=token-groups-claim. Se il server di autorizzazione richiede il consenso per l'autenticazione con Microsoft Azure e Okta, imposta prompt=consent. Per Cloud Identity, imposta prompt=consent,access_type=offline.

  6. Nella sezione Specifica gli amministratori iniziali, completa i seguenti passaggi e fai clic su Avanti:

    1. Scegli se aggiungere singoli utenti o gruppi come amministratori iniziali.
    2. Nel campo Alias utente o gruppo, inserisci l'indirizzo email dell'utente o del gruppo per accedere all'organizzazione. Se sei l'amministratore, inserisci il tuo indirizzo email, ad esempio sally@example.com. Il prefisso viene aggiunto prima del nome utente, ad esempio myidp-sally@example.com.

  7. Rivedi le tue selezioni e fai clic su Configura.

Il nuovo profilo del provider di identità è disponibile nell'elenco dei profili di identità.

Connettersi a un provider SAML esistente

  1. Accedi alla console GDC.
  2. Nel menu di navigazione, fai clic su Identity and Access > Identity.

  3. Nella sezione Configura provider di identità, completa i seguenti passaggi e fai clic su Avanti:

    1. Nel menu a discesa Provider di identità, seleziona Security Assertion Markup Language (SAML).
    2. Inserisci un nome del provider di identità.
    3. Nel campo ID identità, inserisci l'ID dell'applicazione client che effettua richieste di autenticazione al provider di identità.
    4. Nel campo URI SSO, inserisci l'URL dell'endpoint Single Sign-On del provider. Ad esempio: https://www.idp.com/saml/sso.

    5. Nel campo Prefisso del provider di identità, inserisci un prefisso. Il prefisso viene aggiunto all'inizio delle rivendicazioni di utenti e gruppi. I prefissi distinguono tra diverse configurazioni del provider di identità. Ad esempio: se imposti un prefisso myidp, un'attestazione utente potrebbe essere visualizzata come myidpusername@example.com e un'attestazione gruppo potrebbe essere visualizzata come myidpgroup@example.com. Devi includere anche il prefisso quando assegni autorizzazioni RBAC ai gruppi.

    6. (Facoltativo) Nella sezione SAML Assertions (Asserzioni SAML), seleziona Enable encrypted SAML assertions (Attiva asserzioni SAML criptate).

      Per abilitare le asserzioni SAML criptate, devi disporre del ruolo di amministratore della federazione IdP. Chiedi all'amministratore IAM dell'organizzazione di concederti il ruolo Amministratore federazione IdP (idp-federation-admin).

      1. Nel campo Encryption certificate (Certificato di crittografia), inserisci il certificato di crittografia in formato PEM. Ricevi il certificato di crittografia dopo aver generato il provider SAML.
      2. Nel campo Chiave di decrittografia, inserisci la chiave di decrittografia. Ricevi la chiave di decrittografia dopo aver generato il provider SAML.

    7. (Facoltativo) Nella sezione SAML Signed requests (Richieste SAML firmate), seleziona Enable signed SAML requests (Attiva richieste SAML firmate).

      1. Nel campo Signing certificate (Certificato di firma), inserisci il certificato di firma nel formato di file PEM. Il tuo provider SAML configura e produce un certificato di firma.
      2. Nel campo Chiave di firma, inserisci la chiave di firma nel formato del file PEM. Il tuo provider SAML configura e produce una chiave di firma.

  4. Nella pagina Configura attributi, completa i seguenti passaggi e fai clic su Avanti:

    1. Nel campo Certificato IdP, inserisci un certificato con codifica PEM base64 per il provider di identità. Per ulteriori informazioni, consulta la pagina https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail.
      1. Per creare la stringa, codifica il certificato, incluse le intestazioni, in base64.
      2. Includi la stringa risultante come riga singola. Ad esempio LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==.
    2. Inserisci eventuali certificati aggiuntivi nel campo Certificato IdP aggiuntivo.
    3. Nel campo Attributo utente, inserisci l'attributo per identificare ogni utente. L'attributo predefinito per molti fornitori è sub. Puoi scegliere altri attributi, ad esempio email o name, a seconda del provider di identità. Gli attributi diversi da email hanno come prefisso l'URL dell'emittente per evitare conflitti di denominazione.
    4. Nel campo Attributo gruppo, inserisci il nome dell'attributo nel token del provider di identità che contiene le informazioni sul gruppo dell'utente.
    5. (Facoltativo) Se il tuo provider di identità utilizza GKE Identity Service, nell'area Mappatura degli attributi, fai clic su Aggiungi e inserisci coppie chiave-valore per attributi aggiuntivi relativi a un utente, ad esempio il reparto o l'URL dell'immagine del profilo.

  5. Nella sezione Specifica gli amministratori iniziali, completa i seguenti passaggi e fai clic su Avanti:

    1. Scegli se aggiungere singoli utenti o gruppi come amministratori iniziali.
    2. Nel campo Nome utente, inserisci l'indirizzo email dell'utente o del gruppo per accedere all'organizzazione. Se sei l'amministratore, inserisci il tuo indirizzo email, ad esempio kiran@example.com. Il prefisso viene aggiunto prima del nome utente, ad esempio myidp-kiran@example.com.

  6. Nella pagina Revisione, controlla tutti i valori di ogni configurazione dell'identità prima di continuare. Fai clic su Indietro per tornare alle pagine precedenti e apportare le correzioni necessarie. Dopo aver configurato tutti i valori in base alle tue specifiche, fai clic su Configurazione.