Ce document est destiné aux administrateurs de plate-forme ou à toute personne chargée de gérer la configuration des identités dans votre organisation. Il explique comment configurer le fournisseur d'identité SAML (Security Assertion Markup Language) que vous avez choisi pour l'authentification auprès des clusters Kubernetes qui ne sont pas sur Google Cloud.
Enregistrer une application cliente auprès de votre fournisseur
Lors du processus d'authentification, le cluster utilise les informations suivantes pour valider et rediriger les utilisateurs :
EntityID: identifiant unique qui représente le mécanisme d'authentification du cluster pour le fournisseur. Il est dérivé de l'URL du serveur d'API. Par exemple, si la valeur de APISERVER-URL esthttps://cluster.company.com, la valeur deEntityIDdoit êtrehttps://cluster.company.com:11001. Notez que l'URL ne se termine pas par une barre oblique.AssertionConsumerServiceURL: il s'agit de l'URL de rappel. La réponse est transmise à cette URL une fois que le fournisseur a authentifié l'utilisateur. Par exemple, si la valeur de APISERVER-URL esthttps://cluster.company.com, la valeur deAssertionConsumerServiceURLdoit êtrehttps://cluster.company.com:11001/saml-callback.
Informations de configuration du fournisseur
Cette section explique comment enregistrer une application cliente auprès de Microsoft Entra ID. Si vous utilisez un autre fournisseur d'identité, consultez sa documentation pour configurer une application cliente.
- Si vous ne l'avez pas déjà fait, configurez un locataire Microsoft Entra.
- Enregistrez une application dans Microsoft Entra ID.
- Dans le centre d'administration Microsoft Entra, ouvrez la page Enregistrements d'applications et sélectionnez votre application. La page de présentation de l'application s'ouvre.
- Dans le menu de navigation, cliquez sur Authentification.
- Dans la section Configurations de plate-forme, sélectionnez Applications d'entreprise.
- Dans la section Configurer l'authentification unique avec SAML, modifiez la section Configuration SAML de base.
- Dans la section Identifiant (ID d'entité), sélectionnez Ajouter un identifiant.
- Saisissez l'EntityID et l'URL de réponse que vous avez obtenus lors de l'enregistrement d'une application cliente auprès de votre fournisseur.
- Cliquez sur Enregistrer pour enregistrer ces paramètres.
- Consultez la section Attributs et revendications pour ajouter de nouveaux attributs.
- Dans la section Certificats SAML, cliquez sur Certificat (en base64) pour télécharger le certificat du fournisseur d'identité.
- Dans la section Configurer l'application, copiez l'URL de connexion et l'identifiant Azure AD.
Définir la durée de vie des assertions SAML
Pour renforcer la sécurité, configurez votre fournisseur SAML afin qu'il émette des assertions avec une durée de vie courte, par exemple 10 minutes. Ce paramètre est configurable dans les paramètres de votre fournisseur SAML.
Si vous définissez une durée de vie inférieure à cinq minutes, vous risquez de rencontrer des problèmes de connexion si les horloges du cluster et de votre fournisseur SAML ne sont pas synchronisées.
Partager les détails du fournisseur
Partagez les informations suivantes sur le fournisseur avec votre administrateur de cluster pour la configuration du cluster :
idpEntityID: identifiant unique du fournisseur d'identité. Il correspond à l'URL du fournisseur et est également appelé identifiant Azure AD.idpSingleSignOnURL: point de terminaison vers lequel l'utilisateur est redirigé pour s'inscrire. On parle également d'URL de connexion.idpCertificateDataList: certificat public utilisé par le fournisseur d'identité pour la validation des assertions SAML.
Étapes suivantes
- Configurer l'authentification pour des clusters individuels
- Configurer l'authentification pour votre parc