Configura proveedores de SAML para GKE Identity Service

Este documento está dirigido a los administradores de plataformas o a quienes administran la configuración de identidad en tu organización. En este documento, se explica cómo configurar el proveedor de identidad del Lenguaje de marcado para confirmaciones de seguridad (SAML) que elegiste para GKE Identity Service.

Registra GKE Identity Service con tu proveedor

Si deseas registrar GKE Identity Service para el proveedor de identidad, necesitas la siguiente información:

  • EntityID: Este es un identificador único que representa a GKE Identity Service para el proveedor. Esto se deriva de la URL del servidor de la API. Por ejemplo, si el APISERVER-URL es https://cluster.company.com, entonces el EntityID debe ser https://cluster.company.com:11001. Ten en cuenta que la URL no tiene barras finales.
  • AssertionConsumerServiceURL: Esta es la URL de devolución de llamada en GKE Identity Service. La respuesta se reenvía a esta URL después de que el proveedor autentica al usuario. Por ejemplo, si el APISERVER-URL es https://cluster.company.com, entonces el AssertionConsumerServiceURL debe ser https://cluster.company.com:11001/saml-callback.

Información de configuración del proveedor

En esta sección, se proporciona información adicional específica del proveedor para registrar GKE Identity Service. Si tu proveedor aparece en la siguiente lista, registra GKE Identity Service como tu aplicación cliente mediante las siguientes instrucciones.

Azure AD

  1. Si aún no lo hiciste, configura un usuario en Azure Active Directory.
  2. Registra una aplicación con la plataforma de identidad de Microsoft
  3. Abre la página Registros de apps en el Portal de Azure y selecciona el nombre de tu aplicación.
  4. En Administrar, selecciona la configuración de Autenticación.
  5. En Configuración de la plataforma, selecciona Aplicaciones empresariales.
  6. En Configurar el inicio de sesión único con SAML, edite la Configuración básica de SAML.
  7. En la sección Identificador (ID de la entidad), seleccione Agregar identificador.
  8. Ingresa el EntityID y la EntityID que derivaste de Registra el GKE Identity Service con tu proveedor
  9. Haz clic en Guardar para guardar esta configuración.
  10. Revisa la sección Atributos y reclamaciones para agregar atributos nuevos.
  11. En Certificados SAML, haz clic en Certificado (Base64) para descargar el certificado del proveedor de identidad.
  12. InsuficienteConfigura la app, copia el URL de acceso y Identificador de Azure AD.

Establece la vida útil de la aserción de SAML

Para mejorar la seguridad, configura tu proveedor de SAML para que emita aserciones con una vida útil corta, como de 10 minutos. Este parámetro de configuración se puede establecer en la configuración de tu proveedor de SAML.

Si configuras la vida útil en menos de 5 minutos, es posible que se produzcan problemas de acceso si los relojes de GKE Identity Service y tu proveedor de SAML no están sincronizados.

Comparte detalles del proveedor

En el momento del registro del proveedor, debes compartir la siguiente información con el administrador de tu clúster. Estos detalles se obtienen de los metadatos del proveedor y se requieren en el momento de la configuración de GKE Identity Service con SAML.

  • idpEntityID: Es el identificador único del proveedor de identidad. Corresponde a la URL del proveedor y también se llama identificador de Azure AD.
  • idpSingleSignOnURL: Este es el extremo al que se redirecciona al usuario para que se registre. También se denomina URL de acceso.
  • idpCertificateDataList: Este es el certificado público que usa el proveedor de identidad para la verificación de aserciones de SAML.

¿Qué sigue?

El administrador de tu clúster puede configurar GKE Identity Service para clústeres individuales o una flota.