Dokumen ini ditujukan untuk administrator platform, atau siapa pun yang mengelola penyiapan identitas di organisasi Anda. Dokumen ini menjelaskan cara mengonfigurasi penyedia identitas Security Assertion Markup Language (SAML) yang Anda pilih untuk autentikasi ke cluster Kubernetes yang tidak berada di Google Cloud.
Mendaftarkan aplikasi klien ke penyedia Anda
Selama alur autentikasi, cluster menggunakan informasi berikut untuk memverifikasi dan mengalihkan pengguna:
EntityID- Ini adalah ID unik yang merepresentasikan mekanisme autentikasi cluster untuk penyedia. Nilai ini berasal dari URL server API. Misalnya, jika APISERVER-URL adalahhttps://cluster.company.com, makaEntityIDharushttps://cluster.company.com:11001. Perhatikan bahwa URL tidak memiliki garis miring di bagian akhir.AssertionConsumerServiceURL- Ini adalah URL callback. Respons diteruskan ke URL ini setelah penyedia mengautentikasi pengguna. Misalnya, jika APISERVER-URL adalahhttps://cluster.company.com, makaAssertionConsumerServiceURLharushttps://cluster.company.com:11001/saml-callback.
Informasi penyiapan penyedia
Bagian ini memberikan langkah-langkah untuk mendaftarkan aplikasi klien dengan Microsoft Entra ID. Jika Anda menggunakan penyedia identitas yang berbeda, lihat dokumentasi penyedia untuk menyiapkan aplikasi klien.
- Jika Anda belum melakukannya, Siapkan tenant Microsoft Entra.
- Mendaftarkan aplikasi di Microsoft Entra ID.
- Di pusat admin Microsoft Entra, buka halaman App registrations dan pilih aplikasi Anda. Halaman ringkasan aplikasi akan terbuka.
- Di menu navigasi, klik Authentication.
- Di bagian Konfigurasi platform, pilih Aplikasi Perusahaan.
- Di Set up Single Sign-On with SAML, edit Basic SAML Configuration.
- Di bagian Identifier (Entity ID), pilih Add Identifier.
- Masukkan EntityID dan Reply URL yang Anda dapatkan dari Mendaftarkan aplikasi klien ke penyedia Anda
- Klik Simpan untuk menyimpan setelan ini.
- Tinjau bagian Atribut & Klaim untuk menambahkan atribut baru.
- Di bagian SAML Certificates, klik Certificate (Base64) untuk mendownload sertifikat penyedia identitas.
- Di bagian Siapkan aplikasi, salin Login URL dan Azure AD identifier.
Menetapkan masa aktif pernyataan SAML
Untuk meningkatkan keamanan, konfigurasi penyedia SAML Anda agar mengeluarkan pernyataan dengan masa aktif yang singkat, seperti 10 menit. Setelan ini dapat dikonfigurasi dalam setelan penyedia SAML Anda.
Menetapkan masa aktif kurang dari 5 menit dapat menyebabkan masalah login jika waktu antara cluster dan penyedia SAML Anda tidak disinkronkan.
Membagikan detail penyedia layanan
Bagikan informasi penyedia berikut kepada administrator cluster Anda untuk penyiapan cluster:
idpEntityID- Ini adalah ID unik untuk penyedia identitas. ID ini sesuai dengan URL penyedia dan juga disebut ID Azure AD.idpSingleSignOnURL- Ini adalah endpoint tempat pengguna dialihkan untuk mendaftar. URL ini juga disebut URL Login.idpCertificateDataList- Ini adalah sertifikat publik yang digunakan oleh penyedia identitas untuk verifikasi pernyataan SAML.