Este documento está dirigido a los administradores de plataformas o a quienes administran la configuración de identidad en tu organización. Se explica cómo configurar el proveedor de identidad del Lenguaje de marcado para confirmaciones de seguridad (SAML) que elegiste para la autenticación en clústeres de Kubernetes que no están en Google Cloud.
Registra una aplicación cliente con tu proveedor
Durante el flujo de autenticación, el clúster usa la siguiente información para verificar y redireccionar a los usuarios:
EntityID: Es un identificador único que representa el mecanismo de autenticación del clúster para el proveedor. Esto se deriva de la URL del servidor de la API. Por ejemplo, si el APISERVER-URL eshttps://cluster.company.com, entonces elEntityIDdebe serhttps://cluster.company.com:11001. Ten en cuenta que la URL no tiene barras finales.AssertionConsumerServiceURL: Es la URL de devolución de llamada. La respuesta se reenvía a esta URL después de que el proveedor autentica al usuario. Por ejemplo, si el APISERVER-URL eshttps://cluster.company.com, entonces elAssertionConsumerServiceURLdebe serhttps://cluster.company.com:11001/saml-callback.
Información de configuración del proveedor
En esta sección, se proporcionan los pasos para registrar una aplicación cliente con Microsoft Entra ID. Si usas un proveedor de identidad diferente, consulta la documentación del proveedor para configurar una aplicación cliente.
- Si aún no lo hiciste, configura un arrendatario de Microsoft Entra.
- Registra una aplicación en Microsoft Entra ID.
- En el centro de administración de Microsoft Entra, abre la página Registros de aplicaciones y selecciona tu aplicación. Se abrirá la página de descripción general de la aplicación.
- En el menú de navegación, haz clic en Authentication.
- En la sección Configuración de la plataforma, selecciona Aplicaciones empresariales.
- En Configurar el inicio de sesión único con SAML, edite la Configuración básica de SAML.
- En la sección Identificador (ID de entidad), selecciona Agregar identificador.
- Ingresa el EntityID y la URL de respuesta que derivaste de Registra una aplicación cliente con tu proveedor
- Haz clic en Guardar para guardar esta configuración.
- Revisa la sección Atributos y reclamaciones para agregar atributos nuevos.
- En la sección Certificados SAML, haz clic en Certificado (Base64) para descargar el certificado del proveedor de identidad.
- En la sección Configura la app, copia la URL de acceso y el identificador de Azure AD.
Establece la vida útil de la aserción de SAML
Para mejorar la seguridad, configura tu proveedor de SAML para que emita aserciones con una vida útil corta, como de 10 minutos. Este parámetro de configuración se puede establecer en la configuración de tu proveedor de SAML.
Si configuras la vida útil en menos de 5 minutos, es posible que se produzcan problemas de acceso si los relojes del clúster y tu proveedor de SAML no están sincronizados.
Comparte detalles del proveedor
Comparte la siguiente información del proveedor con el administrador de tu clúster para la configuración del clúster:
idpEntityID: Es el identificador único del proveedor de identidad. Corresponde a la URL del proveedor y también se llama identificador de Azure AD.idpSingleSignOnURL: Este es el extremo al que se redirecciona al usuario para que se registre. También se denomina URL de acceso.idpCertificateDataList: Este es el certificado público que usa el proveedor de identidad para la verificación de aserciones de SAML.