Configura i provider SAML per l'autenticazione ai cluster

Questo documento è rivolto agli amministratori della piattaforma o a chiunque gestisca la configurazione dell'identità nella tua organizzazione. Spiega come configurare il provider di identità SAML (Security Assertion Markup Language) scelto per l'autenticazione ai cluster Kubernetes che non sono on Google Cloud.

Registrare un'applicazione client con il provider

Durante il flusso di autenticazione, il cluster utilizza le seguenti informazioni per verificare e reindirizzare gli utenti:

  • EntityID : si tratta di un identificatore univoco che rappresenta il cluster meccanismo di autenticazione per il provider. Deriva dall'URL del server API. Ad esempio, se il APISERVER-URL è https://cluster.company.com, l'EntityID deve essere https://cluster.company.com:11001. Tieni presente che l'URL non ha barre finali.
  • AssertionConsumerServiceURL : questo è l'URL di callback. La risposta viene inoltrata a questo URL dopo che il provider ha autenticato l'utente. Ad esempio, se il APISERVER-URL è https://cluster.company.com, l' AssertionConsumerServiceURL deve essere https://cluster.company.com:11001/saml-callback.

Informazioni sulla configurazione del provider

Questa sezione fornisce i passaggi per registrare un'applicazione client con Microsoft Entra ID. Se utilizzi un altro provider di identità, consulta la documentazione del provider per configurare un'applicazione client.

  1. Se non l'hai ancora fatto, configura un tenant Microsoft Entra.
  2. Registra un'applicazione in Microsoft Entra ID.
  3. Nel Centro amministratori Microsoft Entra, apri la pagina Registrazioni app e seleziona l'applicazione. Si apre la pagina di panoramica dell'applicazione.
  4. Nel menu di navigazione, fai clic su Autenticazione.
  5. Nella sezione Configurazioni della piattaforma, seleziona Applicazioni aziendali.
  6. In Configura Single Sign-On con SAML, modifica la Configurazione SAML di base.
  7. Nella sezione Identificatore (ID entità), seleziona Aggiungi identificatore.
  8. Inserisci l'EntityID e l'URL di risposta derivati da Registrare un'applicazione client con il provider
  9. Fai clic su Salva per salvare queste impostazioni.
  10. Esamina la sezione Attributi e rivendicazioni per aggiungere nuovi attributi.
  11. Nella sezione Certificati SAML, fai clic su Certificato (Base64) per scaricare il certificato del provider di identità.
  12. Nella sezione Configura app, copia l'URL di accesso e l'identificatore di Azure AD.

Impostare la durata dell'asserzione SAML

Per una maggiore sicurezza, configura il provider SAML in modo che emetta asserzioni con una durata breve, ad esempio 10 minuti. Questa impostazione è configurabile nelle impostazioni del provider SAML.

Se imposti la durata su un valore inferiore a 5 minuti, potrebbero verificarsi problemi di accesso se gli orologi del cluster e del provider SAML non sono sincronizzati.

Condividere i dettagli del provider

Condividi le seguenti informazioni del provider con l'amministratore del cluster per la configurazione del cluster:

  • idpEntityID : si tratta dell'identificatore univoco del provider di identità. Corrisponde all'URL del provider e viene chiamato anche identificatore di Azure AD.
  • idpSingleSignOnURL : questo è l'endpoint a cui l'utente viene reindirizzato per la registrazione. Viene chiamato anche URL di accesso.
  • idpCertificateDataList : questo è il certificato pubblico utilizzato dal provider di identità per la verifica dell'asserzione SAML.

Passaggi successivi