Gerenciar identidade com o serviço de identidade do GKE

O Google Distributed Cloud é compatível com OpenID Connect (OIDC) e Protocolo leve de acesso a diretórios (LDAP) como mecanismos de autenticação para interagir com o servidor da API Kubernetes de um cluster, usando o Serviço de Identidade do GKE. O Serviço de Identidade do GKE é um serviço de autenticação que permite levar as soluções de identidade atuais para autenticação nos clusters. Os usuários podem fazer login e usar clusters pela linha de comando (todos os provedores) ou pelo Google Cloud console (somente OIDC), usando o provedor de identidade atual.

O Serviço de Identidade do GKE funciona com qualquer tipo de cluster bare metal: administrador, usuário, híbrido ou independente. Você pode usar provedores de identidade locais e acessíveis publicamente. Por exemplo, se sua empresa executa um Active Directory Federation Services (ADFS) server, o servidor ADFS pode servir como seu provedor de OpenID. Você também pode usar serviços de provedor de identidade acessíveis publicamente, como o Okta. Os certificados de provedor de identidade podem ser emitidos por uma autoridade de certificação pública (CA, na sigla em inglês) conhecida ou por uma CA particular.

Para uma visão geral de como o serviço de identidade do GKE funciona, consulte Introdução ao serviço de identidade do GKE.

Se você já usa ou quer usar os IDs do Google para fazer login nos clusters do GKE em vez de um provedor OIDC ou LDAP, recomendamos o uso do gateway do Connect para autenticação. Saiba mais em Como se conectar a clusters registrados com o gateway do Connect.

Antes de começar

  • Um fluxo de autenticação baseado em navegador é usado para solicitar o consentimento dos usuários e autorizar a conta de usuário. Sistemas headless não são compatíveis.

  • Para autenticar pelo Google Cloud console, cada cluster que você quer configurar precisa ser registrado com a frota do projeto.

Processo de configuração e opções

O Serviço de Identidade do GKE é compatível com provedores de identidade usando os seguintes protocolos:

  • OpenID Connect (OIDC). Fornecemos instruções específicas para a configuração de alguns provedores OpenID conhecidos, incluindo a Microsoft, mas você pode usar qualquer provedor que implemente o OIDC.

  • Protocolo leve de acesso a diretórios (LDAP). É possível usar o Serviço de Identidade do GKE para fazer a autenticação usando LDAP com o Active Directory ou um servidor LDAP.

OIDC

  1. Registre o Serviço de Identidade do GKE como um cliente com o provedor OIDC seguindo as instruções em Como configurar provedores para o Serviço de Identidade do GKE.

  2. Escolha uma destas opções de configuração de cluster:

  3. Para configurar o acesso do usuário aos clusters, incluindo o controle de acesso baseado em papéis (RBAC, na sigla em inglês), siga as instruções em Como configurar o acesso do usuário ao Serviço de identidade do GKE.

LDAP

Para começar a usar o LDAP, siga as instruções em Configurar o Serviço de identidade do GKE com o LDAP.

Acessar clusters

Após a configuração doServiço de identidade do GKE, os usuários podem fazer login nos clusters configurados usando a linha de comando ou o Google Cloud console.

Resolver problemas do fluxo de login

Para resolver problemas de fluxos de login que são autenticados diretamente no servidor do Serviço de Identidade do GKE com um nome de domínio totalmente qualificado (FQDN), use o utilitário de diagnóstico do Serviço de Identidade do GKE. O utilitário de diagnóstico simula fluxos de login com o provedor OIDC para identificar rapidamente problemas de configuração. Essa ferramenta exige um cluster da versão 1.32 ou mais recente e só é compatível com o OIDC. Para mais informações, consulte Utilitário de diagnóstico do Serviço de Identidade do GKE.