Google Distributed Cloud supporta OpenID Connect (OIDC) e Lightweight Directory Access Protocol (LDAP) come meccanismi di autenticazione per l'interazione con il server API Kubernetes di un cluster, utilizzando GKE Identity Service. GKE Identity Service è un servizio di autenticazione che ti consente di adottare le tue soluzioni di identità esistenti per l'autenticazione nei cluster. Gli utenti possono accedere e utilizzare i cluster dalla riga di comando (tutti i provider) o dalla Google Cloud console (solo OIDC), utilizzando il provider di identità esistente.
GKE Identity Service funziona con qualsiasi tipo di cluster bare metal: di amministrazione, utente, ibrido o autonomo. Puoi utilizzare provider di identità on-premise e raggiungibili pubblicamente. Ad esempio, se la tua azienda esegue un server ADFS (Active Directory Federation Services), quest'ultimo può fungere da provider OpenID. Puoi anche utilizzare servizi di provider di identità raggiungibili pubblicamente, come Okta. I certificati dei provider di identità possono essere emessi da un'autorità di certificazione (CA) pubblica nota o da una CA privata.
Per una panoramica del funzionamento di GKE Identity Service, consulta Introduzione a GKE Identity Service.
Se utilizzi già o vuoi utilizzare gli ID Google per accedere ai cluster GKE anziché a un provider OIDC o LDAP, ti consigliamo di utilizzare Connect Gateway per l'autenticazione. Scopri di più in Connessione ai cluster registrati con Connect Gateway.
Prima di iniziare
Per richiedere il consenso agli utenti e autorizzare il loro account utente, viene utilizzato un flusso di autenticazione basato sul browser. I sistemi headless non sono supportati.
Per eseguire l'autenticazione tramite la Google Cloud console, ogni cluster che vuoi configurare deve essere registrato nel parco risorse del progetto fleet.
Procedura di configurazione e opzioni
GKE Identity Service supporta i provider di identità che utilizzano i seguenti protocolli:
OpenID Connect (OIDC). Forniamo istruzioni di configurazione specifiche per alcuni provider OpenID più diffusi, tra cui Microsoft, ma puoi utilizzare qualsiasi provider che implementi OIDC.
Lightweight Directory Access Protocol (LDAP). Puoi utilizzare GKE Identity Service per eseguire l'autenticazione tramite LDAP con Active Directory o un server LDAP.
OIDC
Registra GKE Identity Service come client con il tuo provider OIDC seguendo le istruzioni riportate in Configurazione dei provider per GKE Identity Service.
Scegli una delle seguenti opzioni di configurazione del cluster:
(Consigliato) Configura i cluster a livello di parco risorse seguendo le istruzioni riportate in Configurazione dei cluster per GKE Identity Service a livello di parco risorse. Con questa opzione, la configurazione dell'autenticazione viene gestita centralmente da Google Cloud.
Configura i cluster singolarmente seguendo le istruzioni riportate in Configurazione dei cluster per GKE Identity Service con OIDC.
Configura l'accesso utente ai cluster, incluso controllo dell'accesso basato sui ruoli (RBAC), seguendo le istruzioni riportate in Configurazione dell'accesso utente per GKE Identity Service.
LDAP
Per iniziare a utilizzare LDAP, segui le istruzioni riportate in Configurare GKE Identity Service con LDAP.
Accedere ai cluster
Dopo aver configurato GKE Identity Service, gli utenti possono accedere ai cluster configurati utilizzando la riga di comando o la Google Cloud console.
(Consigliato) Scopri come accedere ai cluster registrati con il tuo ID OIDC o LDAP in Accesso ai cluster utilizzando GKE Identity Service.
Scopri come accedere ai cluster dalla Google Cloud console in Utilizzare i cluster dalla Google Cloud console (solo OIDC).
Risolvere i problemi del flusso di accesso
Per risolvere i problemi dei flussi di accesso che eseguono l'autenticazione direttamente sul server GKE Identity Service con un nome di dominio completo (FQDN), puoi utilizzare l'utilità di diagnostica di GKE Identity Service. L'utilità di diagnostica simula i flussi di accesso con il tuo provider OIDC per identificare rapidamente i problemi di configurazione. Questo strumento richiede un cluster versione 1.32 o successive e supporta solo OIDC. Per saperne di più, consulta Utilità di diagnostica di GKE Identity Service.