Administra la identidad con GKE Identity Service

Google Distributed Cloud admite OpenID Connect (OIDC) y el Protocolo ligero de acceso a directorios (LDAP) como mecanismos de autenticación para interactuar con el servidor de la API de Kubernetes de un clúster, a través del Servicio de identidad de GKE. Servicio de identidad de GKE es un servicio de autenticación que te permite usar las soluciones de identidad existentes para la autenticación en tus clústeres. Los usuarios pueden acceder y usar los clústeres desde la línea de comandos (todos los proveedores) o desde la Google Cloud consola (solo OIDC), todo con tu proveedor de identidad existente.

GKE Identity Service funciona con cualquier tipo de clúster de equipo físico: administrador, usuario, híbrido o independiente. Puedes usar proveedores de identidad locales y de acceso público. Si tu empresa ejecuta un servidor de los Servicios de federación de Active Directory (ADFS), este podría funcionar como tu proveedor de OpenID. También puedes usar servicios de proveedores de identidad de acceso público, como Okta. Una Public Certificate Authority (CA) conocida o una CA privada pueden emitir certificados de proveedor de identidad.

Para obtener una descripción general de cómo funciona el Servicio de identidad de GKE, consulta Introducción al Servicio de identidad de GKE.

Si ya usas o quieres usar IDs de Google para acceder a tus clústeres de GKE en lugar de un proveedor de OIDC o LDAP, te recomendamos usar la puerta de enlace de Connect para la autenticación. Obtén más información en Conéctate a clústeres registrados con la puerta de enlace de Connect.

Antes de comenzar

  • Para solicitar el consentimiento de los usuarios y autorizar su cuenta de usuario, se usa un flujo de autenticación basado en el navegador. Los sistemas sin interfaz gráfica no son compatibles.

  • Para realizar la autenticación a través de la consola de Google Cloud , cada clúster que desees configurar debe estar registrado en tu flota de proyectos.

Proceso y opciones de configuración

GKE Identity Service admite proveedores de identidad mediante los siguientes protocolos:

  • OpenID Connect (OIDC). Proporcionamos instrucciones específicas para la configuración de algunos proveedores de OpenID populares, incluido Microsoft, pero puedes usar cualquier proveedor que implemente OIDC.

  • Protocolo ligero de acceso a directorios (LDAP). Puedes usar el Servicio de identidad de GKE para autenticarte con LDAP a través de Active Directory o un servidor LDAP.

OIDC

  1. Registra Servicio de identidad de GKE como cliente con tu proveedor de OIDC siguiendo las instrucciones en Configura proveedores para Servicio de identidad de GKE.

  2. Elige entre las siguientes opciones de configuración del clúster:

  3. Configura el acceso de usuarios a tus clústeres, incluido el control de acceso basado en roles (RBAC), siguiendo las instrucciones en Configura el acceso de usuarios para el Servicio de identidad de GKE.

LDAP

Para comenzar a usar LDAP, sigue las instrucciones en Configura Servicio de identidad de GKE con LDAP.

Clústeres de acceso

Después de configurar el Servicio de identidad de GKE, los usuarios pueden acceder a los clústeres configurados mediante la línea de comandos o la Google Cloud consola.

Soluciona problemas del flujo de acceso

Para solucionar problemas de flujos de acceso que se autentican directamente en el servidor de Servicio de identidad de GKE con un nombre de dominio completamente calificado (FQDN), puedes usar la utilidad de diagnóstico de Servicio de identidad de GKE. La utilidad de diagnóstico simula flujos de acceso con tu proveedor de OIDC para identificar rápidamente problemas de configuración. Esta herramienta requiere un clúster de la versión 1.32 o posterior, y solo admite OIDC. Para obtener más información, consulta la utilidad de diagnóstico del Servicio de identidad de GKE.