このドキュメントは、組織のプラットフォーム管理者または ID 設定の管理者を対象としています。このドキュメントでは、 Google Cloud上にない Kubernetes クラスタに対する認証用に、選択した Security Assertion Markup Language(SAML) ID プロバイダを構成する方法について説明します。
プロバイダにクライアント アプリケーションを登録する
認証フローでは、クラスタは次の情報を使用してユーザーを検証し、リダイレクトします。
EntityID- プロバイダのクラスタ認証メカニズムを表す固有識別子。これは API サーバーの URL から取得します。たとえば、APISERVER-URL がhttps://cluster.company.comの場合、EntityIDはhttps://cluster.company.com:11001になります。URL の末尾にスラッシュはありません。AssertionConsumerServiceURL- コールバック URL。プロバイダがユーザーを認証した後、レスポンスがこの URL に転送されます。たとえば、APISERVER-URL がhttps://cluster.company.comの場合、AssertionConsumerServiceURLはhttps://cluster.company.com:11001/saml-callbackになります。
プロバイダの設定情報
このセクションでは、クライアント アプリケーションを Microsoft Entra ID に登録する手順を説明します。別の ID プロバイダを使用する場合は、プロバイダのドキュメントを参照してクライアント アプリケーションを設定してください。
- まだ設定していない場合は、Microsoft Entra テナントを設定します。
- Microsoft Entra ID でアプリケーションを登録します。
- Microsoft Entra 管理センターで、[アプリの登録] ページを開き、アプリケーションを選択します。アプリケーションの概要ページが開きます。
- ナビゲーション メニューで [Authentication] をクリックします。
- [Platform configurations] セクションで、[Enterprise Applications] を選択します。
- [Set up Single Sign-On with SAML] で、[Basic SAML Configuration] を編集します。
- [Identifier (Entity ID)] セクションで、[Add Identifier] を選択します。
- プロバイダにクライアント アプリケーションを登録するで取得したエンティティ ID と応答 URL を入力します。
- [Save] をクリックして、これらの設定を保存します。
- [Attributes & Claims] セクションで、新しい属性を追加します。
- [SAML Certificates] セクションで、[Certificate (Base64)] をクリックし、ID プロバイダの証明書をダウンロードします。
- [Set up app] セクションで、[Login URL] と [Azure AD identifier] をコピーします。
SAML アサーションの有効期間を設定する
セキュリティを強化するには、有効期間が短い(10 分など)アサーションを発行するように SAML プロバイダを構成します。この設定は、SAML プロバイダの設定で構成できます。
有効期間を 5 分未満に設定すると、クラスタと SAML プロバイダのクロックが同期していない場合にログインの問題が発生する可能性があります。
プロバイダの詳細を共有する
クラスタの設定を行うために、クラスタ管理者に次のプロバイダ情報を共有します。
idpEntityID- ID プロバイダの固有識別子。これはプロバイダの URL に対応し、Azure AD 識別子とも呼ばれます。idpSingleSignOnURL- ユーザーが登録のためにリダイレクトされるエンドポイントです。これはログイン URL とも呼ばれます。idpCertificateDataList- SAML アサーションの検証に ID プロバイダが使用する公開証明書。