Vous pouvez utiliser des fournisseurs d'identité tiers existants pour vous authentifier auprès de vos clusters Kubernetes enregistrés dans un parc. Ce document décrit les protocoles d'authentification compatibles et les types de clusters compatibles avec chaque protocole. Les utilisateurs peuvent accéder à vos clusters et les gérer depuis la ligne de commande ou depuis la console Google Cloud , sans que vous ayez à modifier votre fournisseur d'identité.
Si vous préférez utiliser des ID Google pour vous connecter à vos clusters plutôt qu'un fournisseur d'identité, consultez Se connecter à des clusters enregistrés avec la passerelle Connect.
Fournisseurs d'identité acceptés
Si vous disposez d'un fournisseur d'identité tiers, vous pouvez utiliser les protocoles suivants pour vous authentifier auprès de vos clusters :
- OpenID Connect (OIDC) : OIDC est un protocole d'authentification moderne et léger basé sur le framework d'autorisation OAuth 2.0. Nous fournissons des instructions spécifiques pour la configuration de certains fournisseurs OpenID Connect populaires, y compris Microsoft, mais vous pouvez choisir n'importe quel fournisseur utilisant une mise en œuvre OIDC.
- Security Assertion Markup Language (SAML) : SAML est une norme basée sur XML permettant d'échanger des données d'authentification et d'autorisation entre des parties, principalement entre un fournisseur d'identité (IdP) et un fournisseur de services (SP).
- Lightweight Directory Access Protocol (LDAP) : LDAP est un protocole standardisé et éprouvé pour accéder aux services d'annuaire et les gérer. Il est couramment utilisé pour stocker et récupérer des informations utilisateur, telles que les noms d'utilisateur, les mots de passe et les appartenances à des groupes. Vous pouvez vous authentifier à l'aide du protocole LDAP avec Active Directory ou un serveur LDAP.
Types de cluster compatibles
Ce service d'authentification ne peut être installé que sur les clusters enregistrés dans un parc. La plupart des types de clusters sont toujours enregistrés dans un parc. Pour les clusters GKE sur Google Cloud, vous devez enregistrer explicitement les clusters dans votre parc pour utiliser ce service.
Le tableau suivant décrit les types de clusters compatibles avec l'authentification tierce et les protocoles spécifiques que vous pouvez utiliser pour chaque type :
| Types de clusters et protocoles compatibles | |
|---|---|
| GDC (VMware) |
Compatible avec les protocoles suivants :
|
| GDC (Bare Metal) |
Compatible avec les protocoles suivants :
|
| GKE sur Google Cloud (membres du parc uniquement) | Compatible avec OIDC |
| GKE sur AWS |
Compatible avec OIDC |
| GKE sur Azure |
Compatible avec OIDC |
Les configurations suivantes ne sont pas acceptées :
- Clusters associés à GKE : les installations EKS, AKS ou autres installations Kubernetes ne sont pas compatibles. Pour vous connecter à ces clusters GKE associés, utilisez la passerelle Connect.
- Pour les déploiements VMware de Google Distributed Cloud, vous ne pouvez vous authentifier qu'auprès des clusters d'utilisateur à l'aide du protocole LDAP. Les clusters administrateur sur VMware ne sont pas compatibles avec l'authentification LDAP.
- Clusters GKE sur Google Cloud : vos clusters GKE doivent être enregistrés dans votre parc. Pour vous connecter à des clusters GKE qui ne font pas partie d'un parc, utilisez la fédération d'identité du personnel.
Processus de configuration
La configuration de l'authentification à partir de fournisseurs d'identité tiers implique les utilisateurs et étapes suivants :
- Configurer des fournisseurs : L'administrateur de plate-forme enregistre une application cliente auprès de son fournisseur d'identité. Cette application cliente dispose de la configuration spécifique au protocole pour Kubernetes. L'administrateur de plate-forme obtient un ID client et un secret auprès du fournisseur d'identité.
Configurer des clusters : l'administrateur de cluster configure les clusters pour votre service d'identité. Les administrateurs de cluster peuvent configurer les clusters comme suit :
- Configuration au niveau du parc : l'administrateur de cluster configure tous les clusters enregistrés dans un parc spécifique. Utilisez cette méthode pour configurer plusieurs clusters à la fois avec une configuration similaire. Pour en savoir plus, consultez Configurer l'authentification au niveau du parc.
Configuration individuelle des clusters : l'administrateur de cluster configure chaque cluster séparément. Utilisez cette méthode pour les scénarios dans lesquels différents types de clusters nécessitent des configurations d'authentification différentes. Pour en savoir plus, consultez les documents suivants :
Configurer l'accès des utilisateurs : l'administrateur de cluster configure l'accès de connexion des utilisateurs pour s'authentifier sur les clusters à l'aide de l'approche accès FQDN (recommandée) ou accès basé sur les fichiers, et configure éventuellement le contrôle des accès basé sur les rôles (RBAC) Kubernetes pour les utilisateurs de ces clusters.