本文適用於平台管理員,或貴機構中負責管理身分設定的人員。本文說明如何設定所選的安全宣告標記語言 (SAML) 識別資訊提供者,以便驗證不在 Google Cloud上的 Kubernetes 叢集。
向供應商註冊用戶端應用程式
在驗證流程中,叢集會使用下列資訊驗證使用者並重新導向:
EntityID- 這是代表供應商叢集驗證機制的專屬 ID。這項資訊衍生自 API 伺服器的網址。舉例來說,如果 APISERVER-URL 是https://cluster.company.com,則EntityID應為https://cluster.company.com:11001。請注意,網址結尾沒有斜線。AssertionConsumerServiceURL- This is the callback URL. 供應商驗證使用者後,系統會將回應轉送至這個網址。舉例來說,如果 APISERVER-URL 是https://cluster.company.com,則AssertionConsumerServiceURL應為https://cluster.company.com:11001/saml-callback。
供應商設定資訊
本節提供向 Microsoft Entra ID 註冊用戶端應用程式的步驟。如果使用其他身分識別提供者,請參閱該提供者的說明文件,瞭解如何設定用戶端應用程式。
- 如果尚未完成,請設定 Microsoft Entra 租戶。
- 在 Microsoft Entra ID 中註冊應用程式。
- 在 Microsoft Entra 系統管理中心開啟「App registrations」頁面,然後選取您的應用程式。應用程式總覽頁面隨即開啟。
- 按一下導覽選單中的「Authentication」(驗證)。
- 在「平台設定」部分,選取「企業應用程式」。
- 在「Set up Single Sign-On with SAML」(透過 SAML 設定單一登入) 中,編輯「Basic SAML Configuration」(基本 SAML 設定)。
- 在「識別碼 (實體 ID)」部分,選取「新增識別碼」。
- 輸入您從「向供應商註冊用戶端應用程式」取得的 EntityID 和回覆網址
- 按一下「儲存」即可儲存這些設定。
- 查看「屬性與聲明」部分,新增任何屬性。
- 在「SAML Certificates」部分,按一下「Certificate (Base64)」下載識別資訊提供者憑證。
- 在「設定應用程式」部分,複製「登入網址」和「Azure AD 識別碼」。
設定 SAML 聲明單次有效期間
為提高安全性,請將 SAML 提供者設定為發布存續時間較短的聲明,例如 10 分鐘。這項設定可在 SAML 供應商的設定中設定。
如果叢集和 SAML 提供者的時鐘未同步,將生命週期設為少於 5 分鐘可能會導致登入問題。
分享提供者詳細資料
請將下列供應商資訊提供給叢集管理員,以設定叢集:
idpEntityID- 這是身分識別提供者的專屬 ID。這對應於供應商的網址,也稱為 Azure AD ID。idpSingleSignOnURL- 這是使用者註冊時重新導向的端點。這也稱為「登入網址」。idpCertificateDataList:這是身分識別提供者用於 SAML 聲明驗證的公開憑證。