Associe um Fornecedor de identidade existente

Esta página explica como ligar o dispositivo isolado do Google Distributed Cloud (GDC) ao fornecedor de identidade (IdP) existente da sua organização. Um IdP é um sistema que faz a gestão e protege centralmente as identidades dos utilizadores, fornecendo serviços de autenticação. A ligação a um IdP existente permite que os utilizadores acedam ao GDC através das credenciais da respetiva organização, sem necessidade de criar nem gerir contas separadas no GDC. Este processo garante uma experiência de início de sessão simples e segura. Uma vez que um IdP é um recurso global, os utilizadores podem aceder ao GDC através do mesmo IdP, independentemente da zona em que trabalham.

Depois de configurar o fornecedor de identidade inicial e associá-lo a um fornecedor de identidade, pode associar outros fornecedores de identidade existentes através da consola do GDC.

Pode estabelecer ligação a um fornecedor de identidade existente através de uma das seguintes opções:

Antes de começar

Para receber as autorizações necessárias para ligar um fornecedor de identidade existente, peça ao administrador de IAM da organização para lhe conceder a função de administrador de IAM da organização. O administrador inicial que especificar quando associar o fornecedor de identidade também tem de ter a função de administrador do IAM da organização atribuída.

Efetue a associação a um fornecedor de identidade existente

Para associar o fornecedor de identidade, tem de ter um único ID de cliente e segredo do seu fornecedor de identidade. Pode estabelecer ligação a um fornecedor OIDC existente ou a um fornecedor SAML através da consola.

Associe um fornecedor OIDC existente

  1. Inicie sessão na consola do GDC. O exemplo seguinte mostra a consola após iniciar sessão numa organização denominada org-1: Página de boas-vindas da consola com links de acesso rápido a tarefas comuns.
  2. No menu de navegação, clique em Identidade e acesso > Identidade.
  3. Clique em Configurar novo fornecedor de identidade.

  4. Na secção Configurar fornecedor de identidade, conclua os seguintes passos e clique em Seguinte:

    1. Na lista Fornecedor de identidade, selecione Open ID Connect (OIDC).
    2. Introduza um nome do fornecedor de identidade.
    3. No campo URL do Google Distributed Cloud, introduza o URL que usa para aceder ao GDC.
    4. No campo URI do emissor, introduza o URL para onde os pedidos de autorização são enviados para o seu fornecedor de identidade. O servidor da API Kubernetes usa este URL para descobrir chaves públicas para validar tokens. O URL tem de usar HTTPS.
    5. No campo ID de cliente, introduza o ID da aplicação cliente que faz pedidos de autenticação ao fornecedor de identidade.
      1. Na secção Segredo do cliente, selecione Configurar segredo do cliente (Recomendado).
      2. No campo Segredo do cliente, introduza o segredo do cliente, que é um segredo partilhado entre o seu fornecedor de identidade e o dispositivo isolado do GDC.

    6. Opcional: no campo Prefixo, introduza um prefixo. O prefixo é o campo Prefixo do fornecedor de identidade. Introduza um prefixo. O prefixo é adicionado ao início das reivindicações de utilizadores e das reivindicações de grupos. Os prefixos são usados para distinguir entre diferentes configurações de fornecedores de identidade. Por exemplo, se definir um prefixo de myidp, uma reivindicação de utilizador pode ser myidpusername@example.com e uma reivindicação de grupo pode ser myidpgroup@example.com. O prefixo também tem de ser incluído quando atribui autorizações de controlo de acesso baseado em funções (CABF) a grupos.

    7. Opcional: na secção Encriptação, selecione Ativar tokens encriptados.

      Para ativar os tokens de encriptação, tem de ter a função de administrador da federação de IdPs. Peça ao administrador de IAM da organização para lhe conceder a função de administrador da federação do IdP (idp-federation-admin).

      1. No campo ID da chave, introduza o ID da chave. O ID da chave é uma chave pública de um símbolo de encriptação Web JSON (JWT). O seu fornecedor de OIDC configura e aprovisiona um ID da chave.
      2. No campo Chave de desencriptação, introduza a chave de desencriptação no formato PEM. A chave de desencriptação é uma chave assimétrica que desencripta uma encriptação. O seu fornecedor de OIDC configura e aprovisiona uma chave de desencriptação.

  5. Na secção Configurar atributos, conclua os seguintes passos e clique em Seguinte:

    1. No campo Autoridade de certificação para o fornecedor OIDC, introduza um certificado codificado em PEM codificado em base64 para o fornecedor de identidade. Para mais informações, consulte https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail.
      1. Para criar a string, codifique o certificado, incluindo os cabeçalhos, em base64.
      2. Inclua a string resultante como uma única linha. Exemplo: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==
    2. No campo Reivindicação de grupo, introduza o nome da reivindicação no token do fornecedor de identidade que contém as informações do grupo do utilizador.
    3. No campo Reivindicação do utilizador, introduza a reivindicação para identificar cada utilizador. A reivindicação predefinida para muitos fornecedores é sub. Pode escolher outras reivindicações, como email ou name, consoante o fornecedor de identidade. As reivindicações que não sejam email têm o prefixo do URL do emissor para evitar conflitos de nomes.
    4. Opcional: se o seu fornecedor de identidade usar o serviço de identidade do GKE, na secção Atributos personalizados, clique em Adicionar e introduza pares de chave-valor para reivindicações adicionais sobre um utilizador, como o respetivo departamento ou URL da imagem do perfil.
    5. Se o seu fornecedor de identidade exigir âmbitos adicionais, no campo Âmbitos, introduza os âmbitos separados por vírgulas para enviar ao fornecedor de identidade. Por exemplo, o Microsoft Azure e o Okta requerem o âmbito offline_access.
    6. Na secção Parâmetros adicionais, introduza quaisquer pares de chave-valor adicionais (separados por vírgulas) exigidos pelo seu fornecedor de identidade. Se estiver a autorizar um grupo, transmita resource=token-groups-claim. Se o seu servidor de autorização pedir consentimento para autenticação com o Microsoft Azure e o Okta, defina prompt=consent. Para o Cloud ID, defina prompt=consent,access_type=offline.

  6. Na secção Especifique os administradores iniciais, conclua os seguintes passos e clique em Seguinte:

    1. Escolha se quer adicionar utilizadores individuais ou grupos como administradores iniciais.
    2. No campo Nome de utilizador ou alias do grupo, introduza o endereço de email do utilizador ou do grupo para aceder à organização. Se for o administrador, introduza o seu endereço de email, por exemplo, sally@example.com. O prefixo é adicionado antes do nome de utilizador, como myidp-sally@example.com.

  7. Reveja as suas seleções e clique em Configurar.

O novo perfil do fornecedor de identidade está disponível na lista de perfis de identidade.

Associe a um fornecedor de SAML existente

  1. Inicie sessão na consola do GDC.
  2. No menu de navegação, clique em Identidade e acesso > Identidade.

  3. Na secção Configurar fornecedor de identidade, conclua os seguintes passos e clique em Seguinte:

    1. No menu pendente Fornecedor de identidade, selecione Security Assertion Markup Language (SAML).
    2. Introduza um nome do fornecedor de identidade.
    3. No campo ID de identidade, introduza o ID da aplicação cliente que faz pedidos de autenticação ao fornecedor de identidade.
    4. No campo URI de SSO, introduza o URL para o ponto final de início de sessão único do fornecedor. Por exemplo: https://www.idp.com/saml/sso.

    5. No campo Prefixo do fornecedor de identidade, introduza um prefixo. O prefixo é adicionado ao início das reivindicações de utilizadores e grupos. Os prefixos distinguem entre diferentes configurações do Fornecedor de identidade. Por exemplo: se definir um prefixo de myidp, uma reivindicação de utilizador pode ser apresentada como myidpusername@example.com e uma reivindicação de grupo pode ser apresentada como myidpgroup@example.com. Também tem de incluir o prefixo quando atribui autorizações RBAC a grupos.

    6. Opcional: na secção Afirmações SAML, selecione Ativar afirmações SAML encriptadas.

      Para ativar as afirmações SAML encriptadas, tem de ter a função de administrador de federação do IdP. Peça ao administrador de IAM da organização para lhe conceder a função de administrador da federação de IdP (idp-federation-admin).

      1. No campo Certificado de encriptação, introduza o seu certificado de encriptação no formato PEM. Recebe o certificado de encriptação depois de gerar o fornecedor SAML.
      2. No campo Chave de desencriptação, introduza a sua chave de desencriptação. Recebe a chave de desencriptação depois de gerar o fornecedor SAML.

    7. Opcional: na secção Pedidos assinados SAML, selecione Ativar pedidos SAML assinados.

      1. No campo Certificado de assinatura, introduza o seu certificado de assinatura no formato de ficheiro PEM. O seu fornecedor de SAML configura e produz um certificado de assinatura.
      2. No campo Chave de assinatura, introduza a chave de assinatura no formato de ficheiro PEM. O seu fornecedor de SAML configura e produz uma chave de assinatura.

  4. Na página Configurar atributos, conclua os seguintes passos e clique em Seguinte:

    1. No campo Certificado do IdP, introduza um certificado codificado em PEM codificado em base64 para o fornecedor de identidade. Para mais informações, consulte https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail.
      1. Para criar a string, codifique o certificado, incluindo os cabeçalhos, em base64.
      2. Inclua a string resultante como uma única linha. Por exemplo: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==.
    2. Introduza quaisquer certificados adicionais no campo Certificado de IdP adicional.
    3. No campo Atributo do utilizador, introduza o atributo para identificar cada utilizador. O atributo predefinido para muitos fornecedores é sub. Pode escolher outros atributos, como email ou name, consoante o fornecedor de identidade. Os atributos que não sejam email têm o prefixo do URL do emissor para evitar conflitos de nomenclatura.
    4. No campo Atributo de grupo, introduza o nome do atributo no token do fornecedor de identidade que contém as informações do grupo do utilizador.
    5. Opcional: se o seu fornecedor de identidade usar o serviço de identidade do GKE, na área Mapeamento de atributos, clique em Adicionar e introduza pares de chave-valor para atributos adicionais sobre um utilizador, como o respetivo departamento ou URL da imagem do perfil.

  5. Na secção Especifique os administradores iniciais, conclua os seguintes passos e clique em Seguinte:

    1. Escolha se quer adicionar utilizadores individuais ou grupos como administradores iniciais.
    2. No campo Nome de utilizador, introduza o endereço de email do utilizador ou do grupo para aceder à organização. Se for o administrador, introduza o seu endereço de email, por exemplo, kiran@example.com. O prefixo é adicionado antes do nome de utilizador, como myidp-kiran@example.com.

  6. Na página Rever, verifique todos os valores de cada configuração de identidade antes de continuar. Clique em Anterior para regressar às páginas anteriores e fazer as correções necessárias. Quando tiver configurado todos os valores de acordo com as suas especificações, clique em Configurar.