Configurar proveedores de SAML para autenticar clústeres

Este documento está dirigido a administradores de la plataforma o a cualquier persona que gestione la configuración de la identidad en tu organización. En este artículo se explica cómo configurar el proveedor de identidades lenguaje de marcado para confirmaciones de seguridad (SAML) que elijas para autenticarte en clústeres de Kubernetes que no estén en Google Cloud.

Registrar una aplicación cliente con tu proveedor

Durante el flujo de autenticación, el clúster usa la siguiente información para verificar y redirigir a los usuarios:

  • EntityID: es un identificador único que representa el mecanismo de autenticación del clúster del proveedor. Se deriva de la URL del servidor de la API. Por ejemplo, si APISERVER-URL es https://cluster.company.com, EntityID debe ser https://cluster.company.com:11001. Ten en cuenta que la URL no tiene barras al final.
  • AssertionConsumerServiceURL: esta es la URL de retrollamada. La respuesta se reenvía a esta URL después de que el proveedor autentique al usuario. Por ejemplo, si APISERVER-URL es https://cluster.company.com, AssertionConsumerServiceURL debe ser https://cluster.company.com:11001/saml-callback.

Información de configuración del proveedor

En esta sección se indican los pasos para registrar una aplicación cliente con Microsoft Entra ID. Si usas otro proveedor de identidades, consulta la documentación del proveedor para configurar una aplicación cliente.

  1. Si aún no lo ha hecho, configure un inquilino de Microsoft Entra.
  2. Registra una aplicación en Microsoft Entra ID.
  3. En el centro de administración de Microsoft Entra, abra la página Registros de aplicaciones y seleccione su aplicación. Se abrirá la página de vista general de la aplicación.
  4. En el menú de navegación, haga clic en Autenticación.
  5. En la sección Configuraciones de plataforma, selecciona Aplicaciones empresariales.
  6. En Set up Single Sign-On with SAML (Configurar el inicio de sesión único con SAML), edita Basic SAML Configuration (Configuración básica de SAML).
  7. En la sección Identifier (Entity ID) (Identificador [ID de entidad]), seleccione Add Identifier (Añadir identificador).
  8. Introduce el EntityID y la URL de respuesta que has obtenido en Registrar una aplicación cliente con tu proveedor.
  9. Haz clic en Guardar para guardar estos ajustes.
  10. Revise la sección Atributos y reclamaciones para añadir atributos nuevos.
  11. En la sección SAML Certificates (Certificados SAML), haz clic en Certificate (Base64) (Certificado [Base64]) para descargar el certificado del proveedor de identidades.
  12. En la sección Configurar aplicación, copia la URL de inicio de sesión y el identificador de Azure AD.

Definir la duración de la aserción SAML

Para mejorar la seguridad, configura tu proveedor de SAML para que emita aserciones con un periodo de validez breve, como 10 minutos. Este ajuste se puede configurar en los ajustes de tu proveedor de SAML.

Si el tiempo de vida es inferior a 5 minutos, pueden producirse problemas de inicio de sesión si los relojes del clúster y de tu proveedor de SAML no están sincronizados.

Compartir los detalles del proveedor

Comparte la siguiente información del proveedor con el administrador del clúster para configurar el clúster:

  • idpEntityID: es el identificador único del proveedor de identidades. Se corresponde con la URL del proveedor y también se denomina identificador de Azure AD.
  • idpSingleSignOnURL: es el endpoint al que se redirige al usuario para registrarse. También se denomina URL de inicio de sesión.
  • idpCertificateDataList: es el certificado público que usa el proveedor de identidades para verificar la aserción de SAML.

Siguientes pasos