Menghubungkan ke penyedia identitas

Halaman ini menjelaskan cara menghubungkan Google Distributed Cloud (GDC) yang terisolasi ke penyedia identitas (IdP) organisasi Anda yang sudah ada. IdP adalah sistem yang mengelola dan mengamankan identitas pengguna secara terpusat, serta menyediakan layanan autentikasi. Dengan menghubungkan ke IdP yang ada, pengguna dapat mengakses GDC menggunakan kredensial organisasi mereka, tanpa perlu membuat atau mengelola akun terpisah dalam GDC. Proses ini memastikan pengalaman login yang lancar dan aman. Karena IdP adalah resource global, pengguna dapat mengakses GDC melalui IdP yang sama, terlepas dari zona tempat mereka bekerja.

Halaman ini ditujukan bagi audiens dalam grup administrator platform, seperti admin IT atau engineer keamanan, yang ingin terhubung ke IdP. Untuk mengetahui informasi selengkapnya, lihat dokumentasi Audiens untuk GDC yang terisolasi dari internet.

Anda dapat terhubung ke penyedia identitas yang ada menggunakan salah satu cara berikut:

Sebelum memulai

Sebelum Anda terhubung ke penyedia identitas yang ada, pastikan penyiapan awal selesai dan Anda memiliki izin yang diperlukan.

Penyiapan koneksi awal penyedia identitas

Anggota grup operator infrastruktur organisasi Anda harus mengonfigurasi koneksi IdP awal sebelum pengguna dapat mengakses cluster atau dasbor GDC.

Mereka dapat melakukannya dengan membuka tiket di sistem tiket dan memberikan informasi berikut tentang penyedia identitas:

  • Jumlah server dan jenisnya.
  • Jumlah penyimpanan blok dalam TB.
  • Jumlah penyimpanan objek dalam TB.
  • Parameter wajib untuk OIDC:
    • clientID: ID aplikasi klien yang membuat permintaan autentikasi ke penyedia OpenID.
    • clientSecret: rahasia yang hanya diketahui oleh aplikasi dan penyedia OpenID.
    • issuerURL: URL yang digunakan untuk mengirim permintaan otorisasi untuk penyedia OpenID.
    • scopes: cakupan tambahan yang akan dikirim ke penyedia OpenID.
    • userclaim: klaim token web JSON (JWT) yang akan digunakan sebagai nama pengguna.
    • certificateAuthorityData: string yang dienkode base64 dari sertifikat yang dienkode PEM untuk penyedia OIDC.
  • Parameter wajib untuk penyedia SAML:
    • idpCertificateDataList: sertifikat IdP untuk memverifikasi respons SAML. Sertifikat ini harus dienkode dengan base64 standar dan diformat PEM. Maksimum hanya dua sertifikat yang didukung untuk memfasilitasi rotasi sertifikat IdP.
    • idpEntityID: ID entitas SAML untuk penyedia SAML, yang ditentukan dalam format URI. Contoh: https://www.idp.com/saml.
    • idpSingleSignOnURI: URI ke endpoint SSO penyedia SAML. Contoh: https://www.idp.com/saml/sso.
  • Nama pengguna atau grup nama pengguna untuk administrator awal.

Izin yang diperlukan

Untuk mendapatkan izin yang Anda perlukan untuk menghubungkan penyedia identitas yang ada, lakukan hal berikut:

  • Minta Admin IAM Organisasi Anda untuk memberi Anda peran IdP Federation Admin (idp-federation-admin).
  • Pastikan admin awal yang Anda tentukan saat menghubungkan penyedia identitas memiliki peran Admin IAM Organisasi (organization-iam-admin).

Menghubungkan ke penyedia identitas yang sudah ada

Untuk menghubungkan penyedia identitas, Anda harus memiliki satu ID klien dan rahasia dari penyedia identitas Anda. Anda dapat terhubung ke penyedia OIDC yang sudah ada atau penyedia SAML.

Menghubungkan ke penyedia OIDC yang sudah ada

Untuk terhubung ke penyedia OIDC yang ada, selesaikan langkah-langkah berikut:

Konsol

  1. Login ke konsol GDC. Contoh berikut menunjukkan konsol setelah login ke organisasi bernama org-1: Halaman selamat datang konsol dengan link akses cepat ke tugas umum
  2. Di menu navigasi, klik Identity and Access > Identity.
  3. Klik Tambahkan Penyedia Identitas.

  4. Di bagian Konfigurasi penyedia identitas, selesaikan langkah-langkah berikut:

    1. Di menu drop-down Identity provider, pilih Open ID Connect (OIDC).
    2. Masukkan Nama penyedia identitas.
    3. Di kolom URI Penerbit, masukkan URL tempat permintaan otorisasi dikirim ke penyedia identitas Anda. Server API Kubernetes menggunakan URL ini untuk menemukan kunci publik agar dapat memverifikasi token. URL harus menggunakan HTTPS.
    4. Di kolom Client ID, masukkan ID untuk aplikasi klien yang membuat permintaan autentikasi ke penyedia identitas.
    5. Di kolom Rahasia Klien, masukkan rahasia klien, yang merupakan rahasia bersama antara penyedia identitas Anda dan Distributed Cloud.

    6. Opsional: Di kolom Awalan penyedia identitas, masukkan awalan. Awalan ditambahkan ke awal klaim pengguna dan klaim grup. Awalan digunakan untuk membedakan konfigurasi penyedia identitas yang berbeda. Misalnya, jika Anda menetapkan awalan myidp, klaim pengguna mungkin myid-pusername@example.com dan klaim grup mungkin myid-pgroup@example.com. Awalan juga harus disertakan saat menetapkan izin role-based access control (RBAC) ke grup.

    7. Opsional: Di bagian Enkripsi, pilih Aktifkan token enkripsi.

      Untuk mengaktifkan token enkripsi, minta Admin IAM Organisasi Anda untuk memberi Anda peran IdP Federation Admin (idp-federation-admin).

      1. Di kolom Key ID, masukkan ID kunci Anda. ID kunci mengidentifikasi kunci publik token JSON web encryption (JWE). Penyedia OIDC Anda menyiapkan dan menyediakan ID kunci.
      2. Di kolom Decryption key, masukkan kunci dekripsi dalam format PEM. Kunci dekripsi adalah kunci asimetris yang digunakan untuk mendekripsi token. Penyedia OIDC Anda menyiapkan dan menyediakan kunci dekripsi.

    8. Klik Berikutnya.

  5. Di bagian Konfigurasi atribut, selesaikan langkah-langkah berikut:

    1. Di kolom Certificate authority for OIDC provider, masukkan sertifikat berenkode PEM berenkode base64 untuk penyedia identitas. Untuk mengetahui informasi selengkapnya, lihat Privacy-Enhanced Mail di Wikipedia.
      1. Untuk membuat string, enkode sertifikat, termasuk header, ke dalam base64.
      2. Sertakan string yang dihasilkan sebagai satu baris. Contoh: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==
    2. Di kolom Group Claim, masukkan nama klaim dalam token penyedia identitas yang menyimpan informasi grup pengguna.
    3. Di kolom Klaim Pengguna, masukkan klaim untuk mengidentifikasi setiap pengguna. Klaim default untuk banyak penyedia adalah sub. Anda dapat memilih klaim lain, seperti email atau name, bergantung pada penyedia identitas. Klaim selain email diawali dengan URL penerbit untuk mencegah bentrokan penamaan.
    4. Opsional: Di bagian Atribut kustom, klik Tambahkan Pasangan, lalu masukkan pasangan nilai kunci untuk klaim tambahan tentang pengguna, seperti departemen atau URL foto profilnya.
    5. Jika penyedia identitas Anda memerlukan cakupan tambahan, di kolom Cakupan, masukkan cakupan yang dipisahkan koma untuk dikirim ke penyedia identitas.
    6. Di bagian Extra parameters, masukkan pasangan nilai kunci tambahan (dipisahkan dengan koma) yang diperlukan oleh penyedia identitas Anda. Jika Anda memberikan otorisasi ke grup, teruskan resource=token-groups-claim.
    7. Klik Berikutnya.

  6. Di bagian Tentukan admin awal, selesaikan langkah-langkah berikut:

    1. Pilih apakah akan menambahkan pengguna atau grup individual sebagai administrator awal.
    2. Di kolom Alias pengguna atau grup, masukkan alamat email pengguna atau grup untuk mengakses organisasi. Jika Anda adalah administrator, masukkan alamat email Anda, misalnya kiran@example.com. Awalan ditambahkan sebelum nama pengguna, seperti myidp-kiran@example.com.
    3. Klik Berikutnya.

  7. Tinjau pilihan Anda, lalu klik Siapkan.

Profil penyedia identitas baru tersedia di daftar Profil identitas.

API

Untuk menghubungkan penyedia identitas ke organisasi Anda, buat resource kustom global IdentityProviderConfig.

  1. Buat file YAML resource kustom IdentityProviderConfig, seperti pa-idp-oidc.yaml:

    apiVersion: iam.global.gdc.goog/v1
kind: IdentityProviderConfig
metadata:
  name: pa-idp-oidc
  namespace: platform
spec:
  oidc:
    certificateAuthorityData: "IDP_BASE64_ENCODED_CERTIFICATE"
    clientID: IDP_CLIENT_ID
    clientSecret: IDP_CLIENT_SECRET
    groupPrefix: IDP_GROUP_PREFIX
    groupsClaim: IDP_GROUP_CLAIM
    issuerURI: IDP_ISSUER_URI
    scopes: openid email profile
    userClaim: IDP_USER_CLAIM
    userPrefix: IDP_USER_PREFIX

    Ganti variabel berikut:

    • IDP_BASE64_ENCODED_CERTIFICATE: sertifikat berenkode base64 untuk IdP.
    • IDP_CLIENT_ID: ID klien untuk IdP.
    • IDP_CLIENT_SECRET: rahasia klien untuk IdP.
    • IDP_GROUP_PREFIX: awalan untuk grup di IdP.
    • IDP_GROUP_CLAIM: nama klaim dalam token IdP yang mengelompokkan informasi.
    • IDP_ISSUER_URI: URI penerbit untuk IdP.
    • IDP_USER_CLAIM: nama klaim dalam token IdP untuk pengguna.
    • IDP_USER_PREFIX: awalan untuk IdP pengguna.

  2. Terapkan resource kustom IdentityProviderConfig ke server API global:

    kubectl --kubeconfig GLOBAL_API_SERVER_KUBECONFIG apply -f pa-idp-oidc.yaml

    Ganti variabel GLOBAL_API_SERVER_KUBECONFIG dengan jalur ke file kubeconfig untuk server API global.

Menghubungkan ke penyedia SAML yang ada

Untuk menghubungkan ke penyedia SAML yang ada, selesaikan langkah-langkah berikut:

Konsol

  1. Login ke konsol GDC. Contoh berikut menunjukkan konsol setelah login ke organisasi bernama org-1: Halaman selamat datang konsol dengan link akses cepat ke tugas umum
  2. Di menu navigasi, klik Identity and Access > Identity.
  3. Klik Tambahkan Penyedia Identitas.

  4. Di bagian Konfigurasi penyedia identitas, selesaikan langkah-langkah berikut:

    1. Di menu drop-down Identity provider, pilih Security Assertion Markup Language (SAML).
    2. Masukkan Nama penyedia identitas.
    3. Di kolom Identity ID, masukkan ID untuk aplikasi klien yang membuat permintaan autentikasi ke penyedia identitas.
    4. Di kolom SSO URI, masukkan URL ke endpoint single sign-on penyedia. Contoh: https://www.idp.com/saml/sso.

    5. Di kolom Awalan penyedia identitas, masukkan awalan. Awalan ditambahkan ke awal klaim pengguna dan grup. Awalan membedakan konfigurasi penyedia identitas yang berbeda. Misalnya: Jika Anda menetapkan awalan myidp, klaim pengguna dapat ditampilkan sebagai myidp-username@example.com dan klaim grup dapat ditampilkan sebagai myidp-group@example.com. Anda juga harus menyertakan awalan saat menetapkan izin RBAC ke grup.

    6. Untuk meningkatkan keamanan, konfigurasi penyedia SAML Anda agar mengeluarkan pernyataan dengan masa aktif 5 hingga 10 menit. Setelan ini dapat dikonfigurasi dalam setelan penyedia SAML Anda.

    7. Opsional: Di bagian Pernyataan SAML, pilih Aktifkan enkripsi pernyataan SAML.

      Untuk mengaktifkan pernyataan SAML terenkripsi, minta Admin IAM Organisasi Anda untuk memberi Anda peran Admin Federasi IdP (idp-federation-admin).

      1. Di kolom Encryption assertion certificate, masukkan sertifikat enkripsi Anda dalam format PEM. Anda mendapatkan sertifikat enkripsi dari penyedia SAML Anda.
      2. Di kolom Encryption assertion key, masukkan kunci pribadi Anda. Anda menerima kunci dekripsi setelah membuat penyedia SAML.

    8. Opsional: Di bagian SAML Signed Requests, pilih Enable signed SAML requests.

      1. Di kolom Signing certificate, masukkan sertifikat penandatanganan Anda dalam format file PEM. Penyedia SAML Anda menerbitkan sertifikat penandatanganan.
      2. Di kolom Signing key, masukkan kunci penandatanganan Anda dalam format file PEM. Penyedia SAML Anda akan menyiapkan dan membuat kunci penandatanganan untuk Anda.

    9. Klik Berikutnya.

  5. Di halaman Konfigurasi atribut, selesaikan langkah-langkah berikut:

    1. Di kolom IDP certificate, masukkan sertifikat berenkode PEM yang dienkode ke base64 untuk penyedia identitas. Untuk mengetahui informasi selengkapnya, lihat Privacy-Enhanced Mail di Wikipedia.
      1. Untuk membuat string, enkode sertifikat, termasuk header, ke dalam base64.
      2. Sertakan string yang dihasilkan sebagai satu baris. Contoh: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==
    2. Masukkan sertifikat tambahan di kolom Additional IDP certificate.
    3. Di kolom Atribut pengguna, masukkan atribut untuk mengidentifikasi setiap pengguna. Atribut default untuk banyak penyedia adalah sub. Anda dapat memilih atribut lain, seperti email atau name, bergantung pada penyedia identitas. Atribut selain email diberi awalan dengan URL penerbit untuk mencegah bentrokan penamaan.
    4. Di kolom Atribut grup, masukkan nama atribut di token penyedia identitas yang menyimpan informasi grup pengguna.
    5. Opsional: Di bagian Pemetaan atribut, klik Tambahkan Pasangan lalu masukkan pasangan nilai kunci untuk atribut tambahan tentang pengguna, seperti departemen atau URL foto profilnya.
    6. Klik Berikutnya.

  6. Di bagian Tentukan admin awal, selesaikan langkah-langkah berikut:

    1. Pilih apakah akan menambahkan pengguna atau grup individual sebagai administrator awal.
    2. Di kolom Alias pengguna atau grup, masukkan alamat email pengguna atau grup untuk mengakses organisasi. Jika Anda adalah administrator, masukkan alamat email Anda, misalnya kiran@example.com. Awalan ditambahkan sebelum nama pengguna, seperti myidp-kiran@example.com.
    3. Klik Berikutnya.

  7. Di halaman Tinjau, periksa semua nilai setiap konfigurasi identitas sebelum melanjutkan.

    Klik Kembali untuk kembali ke halaman sebelumnya dan melakukan koreksi yang diperlukan.

  8. Klik Penyiapan.

Profil penyedia identitas baru tersedia di daftar Profil identitas.

API

Untuk menghubungkan penyedia identitas ke organisasi Anda, buat resource kustom global IdentityProviderConfig.

  1. Buat file YAML resource kustom IdentityProviderConfig, seperti pa-idp-saml.yaml:

    apiVersion: iam.global.gdc.goog/v1
kind: IdentityProviderConfig
metadata:
  name: pa-idp-saml
  namespace: platform
spec:
  saml:
    groupPrefix: IDP_GROUP_PREFIX
    groupsAttribute: IDP_GROUP_ATTRIBUTE
    idpCertificateDataList:
    - "IDP_BASE64_ENCODED_CERTIFICATE"
    idpEntityID: IDP_SAML_ENTITY_ID
    idpSingleSignOnURI: IDP_SAML_SSO_URI
    userAttribute: IDP_USER_ATTRIBUTE
    userPrefix: IDP_USER_PREFIX

    Ganti variabel berikut:

    • IDP_GROUP_PREFIX: awalan untuk grup di IdP.
    • IDP_GROUP_ATTRIBUTE: atribut untuk grup di IdP.
    • IDP_BASE64_ENCODED_CERTIFICATE: sertifikat berenkode base64 untuk IdP.
    • IDP_SAML_ENTITY_ID: URL atau URI untuk mengidentifikasi IdP secara unik.
    • IDP_SAML_SSO_URI: URI penerbit untuk IdP.
    • IDP_USER_ATTRIBUTE: atribut untuk pengguna IdP, seperti email.
    • IDP_USER_PREFIX: nama klaim dalam token IdP untuk pengguna.

  2. Terapkan resource kustom IdentityProviderConfig ke server API global:

    kubectl --kubeconfig GLOBAL_API_SERVER_KUBECONFIG apply -f pa-idp-saml.yaml

    Ganti variabel GLOBAL_API_SERVER_KUBECONFIG dengan jalur ke file kubeconfig untuk server API global.

Menghapus penyedia identitas yang ada

Menghapus penyedia identitas yang ada menggunakan konsol GDC:

  1. Login ke konsol GDC.
  2. Di pemilih project, pilih organisasi tempat Anda ingin menghapus penyedia identitas.
  3. Di menu navigasi, klik Identity and Access > Identity.

  4. Centang kotak di samping nama satu atau beberapa penyedia identitas.

    Pesan akan muncul dengan jumlah penyedia identitas yang Anda pilih dan tombol Hapus.

  5. Klik Hapus.