Questo documento è rivolto agli amministratori della piattaforma o a chiunque gestisca la configurazione dell'identità nella tua organizzazione. Spiega come configurare il provider di identità Security Assertion Markup Language (SAML) scelto per l'autenticazione nei cluster Kubernetes che non si trovano su Google Cloud.
Registrare un'applicazione client con il provider
Durante il flusso di autenticazione, il cluster utilizza le seguenti informazioni per verificare e reindirizzare gli utenti:
EntityID: si tratta di un identificatore univoco che rappresenta il meccanismo di autenticazione del cluster per il provider. Questo valore deriva dall'URL del server API. Ad esempio, se APISERVER-URL èhttps://cluster.company.com,EntityIDdeve esserehttps://cluster.company.com:11001. Tieni presente che l'URL non ha barre finali.AssertionConsumerServiceURL: questo è l'URL di callback. La risposta viene inoltrata a questo URL dopo che il provider ha autenticato l'utente. Ad esempio, se APISERVER-URL èhttps://cluster.company.com,AssertionConsumerServiceURLdeve esserehttps://cluster.company.com:11001/saml-callback.
Informazioni di configurazione del provider
Questa sezione fornisce i passaggi per registrare un'applicazione client con Microsoft Entra ID. Se utilizzi un altro provider di identità, consulta la documentazione del provider per configurare un'applicazione client.
- Se non l'hai ancora fatto, configura un tenant Microsoft Entra.
- Registra un'applicazione in Microsoft Entra ID.
- Nel centro di amministrazione di Microsoft Entra, apri la pagina Registrazioni app e seleziona la tua applicazione. Si apre la pagina di panoramica dell'applicazione.
- Nel menu di navigazione, fai clic su Autenticazione.
- Nella sezione Configurazioni della piattaforma, seleziona Applicazioni aziendali.
- In Configura Single Sign-On con SAML, modifica la Configurazione SAML di base.
- Nella sezione Identifier (Entity ID) (Identificatore (ID entità)), seleziona Add Identifier (Aggiungi identificatore).
- Inserisci l'EntityID e l'URL di risposta che hai ottenuto da Registra un'applicazione client con il tuo fornitore.
- Fai clic su Salva per salvare queste impostazioni.
- Esamina la sezione Attributi e rivendicazioni per aggiungere nuovi attributi.
- Nella sezione Certificati SAML, fai clic su Certificato (Base64) per scaricare il certificato del provider di identità.
- Nella sezione Configura app, copia l'URL di accesso e l'identificatore Azure AD.
Imposta la durata dell'asserzione SAML
Per una maggiore sicurezza, configura il tuo provider SAML in modo che emetta asserzioni con una durata breve, ad esempio 10 minuti. Questa impostazione è configurabile nelle impostazioni del provider SAML.
Se imposti la durata su un valore inferiore a 5 minuti, potrebbero verificarsi problemi di accesso se gli orologi del cluster e del provider SAML non sono sincronizzati.
Condividere i dettagli del fornitore
Condividi le seguenti informazioni sul fornitore con l'amministratore del cluster per la configurazione del cluster:
idpEntityID: l'identificatore univoco del provider di identità. Corrisponde all'URL del fornitore ed è chiamato anche identificatore Azure AD.idpSingleSignOnURL: questo è l'endpoint a cui l'utente viene reindirizzato per la registrazione. Questo è anche chiamato URL di accesso.idpCertificateDataList: questo è il certificato pubblico utilizzato dal provider di identità per la verifica dell'asserzione SAML.
Passaggi successivi
- Configurare l'autenticazione per i singoli cluster
- Configurare l'autenticazione per il parco risorse