Dieses Dokument richtet sich an Plattformadministratoren bzw. an die Person, die die Identitätseinrichtung in Ihrer Organisation verwaltet. Darin wird beschrieben, wie Sie den ausgewählten SAML-Identitätsanbieter (Security Assertion Markup Language) für die Authentifizierung bei Kubernetes-Clustern konfigurieren, die nicht auf Google Cloudgehostet werden.
Clientanwendung beim Anbieter registrieren
Während des Authentifizierungsvorgangs verwendet der Cluster die folgenden Informationen, um Nutzer zu bestätigen und weiterzuleiten:
EntityID– Dies ist eine eindeutige Kennung, die den Clusterauthentifizierungsmechanismus für den Anbieter darstellt. Sie wird aus der URL des API-Servers abgeleitet. Wenn APISERVER-URL beispielsweisehttps://cluster.company.comist, sollteEntityIDden Werthttps://cluster.company.com:11001haben. Beachten Sie, dass die URL keine nachgestellten Schrägstriche enthält.AssertionConsumerServiceURL: Dies ist die Callback-URL. Die Antwort wird an diese URL weitergeleitet, nachdem der Anbieter den Nutzer authentifiziert hat. Wenn APISERVER-URL beispielsweisehttps://cluster.company.comist, sollteAssertionConsumerServiceURLden Werthttps://cluster.company.com:11001/saml-callbackhaben.
Informationen zur Einrichtung des Anbieters
In diesem Abschnitt wird beschrieben, wie Sie eine Clientanwendung bei Microsoft Entra ID registrieren. Wenn Sie einen anderen Identitätsanbieter verwenden, lesen Sie in der Dokumentation des Anbieters nach, wie Sie eine Clientanwendung einrichten.
- Richten Sie einen Microsoft Entra-Mandanten ein, falls Sie dies noch nicht getan haben.
- Registrieren Sie eine Anwendung in Microsoft Entra ID.
- Öffnen Sie im Microsoft Entra Admin Center die Seite App-Registrierungen und wählen Sie Ihre Anwendung aus. Die Übersichtsseite der Anwendung wird geöffnet.
- Klicken Sie im Navigationsmenü auf Authentifizierung.
- Wählen Sie im Abschnitt Plattformkonfigurationen die Option Unternehmensanwendungen aus.
- Bearbeiten Sie unter Einmalanmeldung mit SAML einrichten die SAML-Basiskonfiguration.
- Wählen Sie im Bereich Kennung (Entitäts-ID) die Option Kennung hinzufügen aus.
- Geben Sie die EntityID und die Antwort-URL ein, die Sie von der Registrierung einer Clientanwendung bei Ihrem Anbieter abgeleitet haben.
- Klicken Sie auf Speichern, um diese Einstellungen zu speichern.
- Prüfen Sie den Bereich Nutzerattribute und Ansprüche, um mögliche neue Attribute hinzuzufügen.
- Klicken Sie im Abschnitt SAML-Zertifikate auf Zertifikat (Base64), um das Zertifikat des Identitätsanbieters herunterzuladen.
- Kopieren Sie im Abschnitt App einrichten die Anmelde-URL und die Azure AD-Kennung.
Gültigkeitsdauer für SAML-Assertions festlegen
Konfigurieren Sie Ihren SAML-Anbieter so, dass er zur Erhöhung der Sicherheit Assertions mit einer kurzen Lebensdauer ausgibt, z. B. 10 Minuten. Diese Einstellung kann in den Einstellungen Ihres SAML-Anbieters konfiguriert werden.
Wenn Sie die Lebensdauer auf weniger als 5 Minuten festlegen, kann es zu Anmeldeproblemen kommen, wenn die Uhren zwischen dem Cluster und Ihrem SAML-Anbieter nicht synchronisiert sind.
Anbieterdetails teilen
Geben Sie die folgenden Anbieterinformationen an Ihren Clusteradministrator weiter, damit er den Cluster einrichten kann:
idpEntityID– Dies ist die eindeutige Kennung für den Identitätsanbieter. Sie entspricht der URL des Anbieters und wird auch als Azure AD-Kennung bezeichnet.idpSingleSignOnURL– Dies ist der Endpunkt, an den der Nutzer zur Registrierung weitergeleitet wird. Dieser wird auch als Log-in-URL bezeichnet.idpCertificateDataList– Dies ist das öffentliche Zertifikat, das vom Identitätsanbieter für die Überprüfung der SAML-Assertion verwendet wird.
Nächste Schritte
- Authentifizierung für einzelne Cluster konfigurieren
- Authentifizierung für Ihre Flotte konfigurieren