Configure fornecedores SAML para autenticar em clusters

Este documento destina-se a administradores da plataforma ou a quem gere a configuração de identidade na sua organização. Explica como configurar o fornecedor de identidade de linguagem de marcação de declarações de segurança (SAML) escolhido para autenticação em clusters do Kubernetes que não estão no Google Cloud.

Registe uma aplicação cliente junto do seu fornecedor

Durante o fluxo de autenticação, o cluster usa as seguintes informações para validar e redirecionar os utilizadores:

• EntityID: este é um identificador exclusivo que representa o mecanismo de autenticação do cluster para o fornecedor. Isto é derivado do URL do servidor da API. Por exemplo, se o APISERVER-URL for https://cluster.company.com, o EntityID deve ser https://cluster.company.com:11001. Tenha em atenção que o URL não tem barras à direita.
• AssertionConsumerServiceURL - Este é o URL de retorno. A resposta é encaminhada para este URL depois de o fornecedor autenticar o utilizador. Por exemplo, se o APISERVER-URL for https://cluster.company.com, o AssertionConsumerServiceURL deve ser https://cluster.company.com:11001/saml-callback.

Informações de configuração do fornecedor

Esta secção fornece passos para registar uma aplicação cliente com o Microsoft Entra ID. Se usar um fornecedor de identidade diferente, consulte a documentação do fornecedor para configurar uma aplicação cliente.

1. Se ainda não o fez, Configure um inquilino do Microsoft Entra.
2. Registe uma aplicação no Microsoft Entra ID.
3. No centro de administração do Microsoft Entra, abra a página Registos de apps e selecione a sua aplicação. É aberta a página de vista geral da aplicação.
4. No menu de navegação, clique em Autenticação.
5. Na secção Configurações da plataforma, selecione Aplicações empresariais.
6. Em Configurar o Início de sessão único com SAML, edite a Configuração básica de SAML.
7. Na secção Identificador (ID da entidade), selecione Adicionar identificador.
8. Introduza o EntityID e o URL de resposta que derivou de Registe uma aplicação cliente junto do seu fornecedor
9. Clique em Guardar para guardar estas definições.
10. Reveja a secção Atributos e reivindicações para adicionar novos atributos.
11. Na secção Certificados SAML, clique em Certificado (Base64) para transferir o certificado do fornecedor de identidade.
12. Na secção Configurar app, copie o URL de início de sessão e o identificador do Azure AD.

Defina a duração da afirmação SAML

Para maior segurança, configure o seu fornecedor SAML para emitir declarações com um período de validade curto, como 10 minutos. Esta definição é configurável nas definições do fornecedor de SAML.

A definição da duração para menos de 5 minutos pode causar problemas de início de sessão se os relógios entre o cluster e o seu fornecedor SAML não estiverem sincronizados.

Partilhe os detalhes do fornecedor

Partilhe as seguintes informações do fornecedor com o administrador do cluster para a configuração do cluster:

• idpEntityID - Este é o identificador exclusivo do fornecedor de identidade. Corresponde ao URL do fornecedor e também é denominado identificador do Azure AD.
• idpSingleSignOnURL: este é o ponto final para o qual o utilizador é redirecionado para se inscrever. Também se denomina URL de início de sessão.
• idpCertificateDataList: este é o certificado público usado pelo fornecedor de identidade para a validação da declaração SAML.

O que se segue?

• Configure a autenticação para clusters individuais
• Configure a autenticação para a sua frota