Este documento está dirigido a los administradores de plataformas responsables de configurar y gestionar la identidad en su organización. Si eres administrador de un clúster u operador de una aplicación, pide al administrador de tu plataforma que complete la configuración que se describe en este artículo antes de configurar clústeres individuales o de usar la configuración de la flota.
Antes de empezar
Si quieres que los administradores del clúster proporcionen acceso de autenticación mediante el nombre de dominio completo (FQDN) del servidor de la API de Kubernetes del clúster (opción recomendada), haz lo siguiente. De lo contrario, puedes ir directamente a la sección sobre configurar tu proveedor de identidades. Puedes consultar más información sobre los métodos de autenticación de usuarios en el artículo Configurar un método de autenticación para el acceso de usuarios.
- Configura tu servicio de nombres de dominio (DNS) para que resuelva el nombre de dominio completo que hayas elegido en las IPs virtuales (VIPs) del plano de control del clúster. Los usuarios pueden acceder al clúster con este nombre de dominio.
- Usa un certificado de indicación de nombre de servidor (SNI) emitido por tu autoridad de certificación (CA) empresarial de confianza. Este certificado menciona específicamente su FQDN como un dominio válido, lo que elimina las posibles advertencias de certificado para los usuarios. Puedes proporcionar el certificado SNI durante la creación del clúster. Para obtener más información sobre cómo especificar certificados SNI, consulta Autenticación de certificados SNI.
- Si no es posible usar certificados SNI, los administradores del clúster deben configurar todos los dispositivos de los usuarios para que confíen en el certificado de la CA del clúster. De esta forma, se evitan las advertencias de certificado, pero es necesario distribuir el certificado de CA del clúster a todos los usuarios.
Para obtener más información sobre el acceso de inicio de sesión de los usuarios mediante estos certificados, consulta Autenticar mediante acceso FQDN.
Configurar el proveedor de identidades
La forma de configurar tu proveedor de identidades depende del protocolo de autenticación que quieras usar. Para obtener más información, consulta una de las siguientes páginas: