本文档适用于平台管理员或组织中管理身份设置的人员。本文档介绍如何配置所选的安全断言标记语言 (SAML) 身份提供方,以便对未在 Google Cloud上的 Kubernetes 集群进行身份验证。
向您的提供方注册客户端应用
在身份验证流中,集群会使用以下信息来验证用户并重定向用户:
EntityID:这是代表提供方的集群身份验证机制的唯一标识符。它来源于 API 服务器的网址。例如,如果 APISERVER-URL 为https://cluster.company.com,则EntityID应为https://cluster.company.com:11001。请注意,该网址没有尾随斜杠。AssertionConsumerServiceURL:这是回调网址。提供方对用户进行身份验证后,响应将转发到此网址。例如,如果 APISERVER-URL 为https://cluster.company.com,则AssertionConsumerServiceURL应为https://cluster.company.com:11001/saml-callback。
提供商设置信息
本部分介绍了向 Microsoft Entra ID 注册客户端应用的步骤。如果您使用其他身份提供方,请参阅该提供方的文档来设置客户端应用。
- 如果您尚未设置 Microsoft Entra 租户,请进行设置。
- 在 Microsoft Entra ID 中注册应用。
- 在 Microsoft Entra 管理中心内,打开应用注册页面,然后选择您的应用。应用概览页面即会打开。
- 在导航菜单中,点击身份验证。
- 在平台配置部分中,选择企业应用。
- 在使用 SAML 设置单点登录中,修改基本 SAML 配置。
- 在标识符(实体 ID)部分中,选择添加标识符。
- 输入您在向您的提供方注册客户端应用时获取的 EntityID 和回复网址
- 点击保存以保存这些设置。
- 查看属性和声明部分,以添加任何新属性。
- 在 SAML 证书部分中,点击证书 (Base64) 以下载身份提供方证书。
- 在设置应用部分中,复制登录网址和 Azure AD 标识符。
设置 SAML 断言的有效期
为增强安全性,请将您的 SAML 提供方配置为发出有效期较短的断言(例如 10 分钟)。您可以在 SAML 提供方的设置中配置此设置。
如果集群与您的 SAML 提供方之间的时钟不同步,将有效期设置为不到 5 分钟可能会导致登录问题。
分享提供商详细信息
与集群管理员共享以下提供方信息,以便进行集群设置:
idpEntityID- 这是身份提供方的唯一标识符。它对应于提供方的网址,也称为 Azure AD 标识符。idpSingleSignOnURL- 这是用于重定向用户以进行注册的端点,也称为“登录网址”。idpCertificateDataList- 这是身份提供方用于 SAML 断言验证的公共证书。