Configurar provedores SAML para autenticar em clusters

Este documento é destinado a administradores de plataforma ou a quem gerencia a configuração de identidade na organização. Ele explica como configurar o provedor de identidade Linguagem de marcação para autorização de segurança (SAML) escolhido para autenticação em clusters do Kubernetes que não estão no Google Cloud.

Registrar um aplicativo cliente com o provedor

Durante o fluxo de autenticação, o cluster usa as seguintes informações para verificar e redirecionar os usuários:

• EntityID - é um identificador exclusivo que representa o mecanismo de autenticação do cluster para o provedor. Ele é derivado do URL do servidor da API. Por exemplo, se APISERVER-URL for https://cluster.company.com, EntityID será https://cluster.company.com:11001. Observe que o URL não tem barras no final.
• AssertionConsumerServiceURL: é o URL de callback. A resposta é encaminhada para esse URL depois que o provedor autentica o usuário. Por exemplo, se APISERVER-URL for https://cluster.company.com, AssertionConsumerServiceURL será https://cluster.company.com:11001/saml-callback.

Informações de configuração do provedor

Esta seção mostra as etapas para registrar um aplicativo cliente no Microsoft Entra ID. Se você usar um provedor de identidade diferente, consulte a documentação dele para configurar um aplicativo cliente.

1. Se ainda não tiver feito isso, configure um locatário do Microsoft Entra.
2. Registre um aplicativo no Microsoft Entra ID.
3. No centro de administração do Microsoft Entra, abra a página Registros de app e selecione seu aplicativo. A página de visão geral do aplicativo será aberta.
4. No menu de navegação, clique em Autenticação.
5. Na seção Configurações da plataforma, selecione Aplicativos empresariais.
6. Em Configurar Logon único com SAML, edite a Configuração básica de SAML.
7. Na seção Identificador (ID da entidade), selecione Adicionar identificador.
8. Insira o EntityID e o URL de resposta que você derivou de Registrar um aplicativo cliente com o provedor
9. Clique em Salvar para salvar essas configurações.
10. Consulte a seção Atributos e declarações para adicionar novos atributos.
11. Na seção Certificados SAML, clique em Certificado (Base64) para fazer o download do certificado do provedor de identidade.
12. Na seção Configurar app, copie o URL de login e o identificador do Azure AD.

Definir o tempo de vida da declaração SAML

Para maior segurança, configure o provedor de SAML para emitir declarações com um tempo de vida curto, como 10 minutos. Essa configuração pode ser feita nas configurações do provedor de SAML.

Definir o tempo de vida para menos de 5 minutos pode causar problemas de login se os relógios entre o cluster e o provedor de SAML não estiverem sincronizados.

Compartilhar detalhes do provedor

Compartilhe as seguintes informações do provedor com o administrador do cluster para a configuração:

• idpEntityID: é o identificador exclusivo do provedor de identidade. Ele corresponde ao URL do provedor e também é chamado de identificador do Azure AD.
• idpSingleSignOnURL: é o endpoint de inscrição do usuário. Também é chamado de URL de login.
• idpCertificateDataList: é o certificado público usado pelo provedor de identidade para a verificação de asserção SAML.

A seguir

• Configurar a autenticação para clusters individuais
• Configurar a autenticação para sua frota