이 문서는 플랫폼 관리자나 조직의 ID 설정을 관리하는 사용자를 대상으로 합니다. Google Cloud에 있지 않은 Kubernetes 클러스터에 대한 인증을 위해 선택한 보안 보장 마크업 언어 (SAML) ID 공급업체를 구성하는 방법을 설명합니다.
제공업체에 클라이언트 애플리케이션 등록
인증 흐름 중에 클러스터는 다음 정보를 사용하여 사용자를 확인하고 리디렉션합니다.
EntityID- 공급자의 클러스터 인증 메커니즘을 나타내는 고유 식별자입니다. 이는 API 서버의 URL에서 파생됩니다. 예를 들어 APISERVER-URL이https://cluster.company.com이면EntityID가https://cluster.company.com:11001이어야 합니다. URL에는 후행 슬래시가 없습니다.AssertionConsumerServiceURL- 콜백 URL입니다. 공급업체에서 사용자를 인증하면 응답이 이 URL로 전달됩니다. 예를 들어 APISERVER-URL이https://cluster.company.com이면AssertionConsumerServiceURL가https://cluster.company.com:11001/saml-callback이어야 합니다.
제공업체 설정 정보
이 섹션에서는 Microsoft Entra ID에 클라이언트 애플리케이션을 등록하는 단계를 설명합니다. 다른 ID 공급업체를 사용하는 경우 공급업체의 문서를 참고하여 클라이언트 애플리케이션을 설정하세요.
- 아직 수행하지 않았다면 Microsoft Entra 테넌트를 설정합니다.
- Microsoft Entra ID에 애플리케이션 등록하기
- Microsoft Entra 관리 센터에서 앱 등록 페이지를 열고 애플리케이션을 선택합니다. 애플리케이션 개요 페이지가 열립니다.
- 탐색 메뉴에서 인증을 클릭합니다.
- 플랫폼 구성 섹션에서 엔터프라이즈 애플리케이션을 선택합니다.
- SAML로 싱글 사인온(SSO) 설정에서 기본 SAML 구성을 수정합니다.
- 식별자 (엔티티 ID) 섹션에서 식별자 추가를 선택합니다.
- 공급업체에 클라이언트 애플리케이션 등록에서 파생된 항목 ID 및 답장 URL을 입력합니다.
- 저장을 클릭하여 설정을 저장합니다.
- 속성 및 클레임 섹션을 검토하여 새 속성을 추가합니다.
- SAML 인증서 섹션에서 인증서 (Base64)를 클릭하여 ID 공급업체 인증서를 다운로드합니다.
- 앱 설정 섹션에서 로그인 URL 및 Azure AD 식별자를 복사합니다.
SAML 어설션 수명 설정
보안 강화를 위해 수명이 짧은(예: 10분) 어설션을 발급하도록 SAML 공급업체를 구성합니다. 이 설정은 SAML 제공업체의 설정 내에서 구성할 수 있습니다.
클러스터와 SAML 제공업체 간의 시계가 동기화되지 않은 경우 수명을 5분 미만으로 설정하면 로그인 문제가 발생할 수 있습니다.
제공업체 세부정보 공유
클러스터 설정을 위해 클러스터 관리자와 다음과 같은 공급업체 정보를 공유합니다.
idpEntityID- ID 공급업체의 고유 식별자입니다. 이는 공급업체의 URL에 해당하며 Azure AD 식별자라고도 합니다.idpSingleSignOnURL- 사용자가 가입을 위해 리디렉션되는 엔드포인트입니다. 이를 로그인 URL이라고도 합니다.idpCertificateDataList- SAML 어설션 확인을 위해 ID 공급업체에서 사용하는 공개 인증서입니다.