Você pode usar provedores de identidade de terceiros para autenticar seus clusters do Kubernetes registrados em uma frota. Este documento descreve os protocolos de autenticação compatíveis e os tipos de clusters que oferecem suporte a cada protocolo. Os usuários podem acessar e gerenciar os clusters na linha de comando ou no console Google Cloud , sem precisar mudar o provedor de identidade.
Se você preferir usar os IDs do Google para fazer login nos clusters em vez de usar um provedor de identidade, consulte Conectar-se a clusters registrados com o gateway do Connect.
Provedores de identidade compatíveis
Se você tiver um provedor de identidade de terceiros, use os seguintes protocolos para autenticar nos clusters:
- OpenID Connect (OIDC): é um protocolo de autenticação moderno e leve criado com base no framework de autorização OAuth 2.0. Fornecemos instruções específicas para a configuração de alguns provedores OpenID Connect conhecidos, incluindo a Microsoft, mas você pode usar qualquer provedor que implemente o OIDC.
- Linguagem de marcação para autorização de segurança (SAML): o SAML é um padrão baseado em XML para a troca de dados de autenticação e autorização entre partes, principalmente entre um provedor de identidade (IdP) e um provedor de serviços (SP).
- Protocolo leve de acesso a diretórios (LDAP): o LDAP é um protocolo maduro e padronizado para acessar e gerenciar serviços de informações de diretório. Ele é usado geralmente para armazenar e extrair informações do usuário, como nomes de usuário, senhas e associações a grupos. É possível fazer a autenticação usando LDAP com o Active Directory ou um servidor LDAP.
Tipos de cluster compatíveis
Esse serviço de autenticação só pode ser instalado em clusters registrados em uma frota. A maioria dos tipos de cluster está sempre registrada em uma frota. Para clusters do GKE no Google Cloud, é necessário registrar explicitamente os clusters na frota para usar esse serviço.
A tabela a seguir descreve os tipos de cluster que oferecem suporte à autenticação de terceiros e os protocolos específicos que podem ser usados em cada tipo:
| Tipos e protocolos de cluster compatíveis | |
|---|---|
| GDC (VMware) |
Aceita os seguintes protocolos:
|
| GDC (bare metal) |
Aceita os seguintes protocolos:
|
| GKE no Google Cloud (somente membros da frota) | Compatível com OIDC |
| GKE na AWS |
Compatível com OIDC |
| GKE no Azure |
Compatível com OIDC |
As seguintes configurações não são compatíveis:
- Clusters anexados do GKE: não há suporte para instalações do EKS, AKS ou outros tipos de Kubernetes. Para se conectar a esses clusters anexados do GKE, use o gateway do Connect.
- Para implantações do Google Distributed Cloud no VMware, é possível autenticar apenas em clusters de usuários usando o protocolo LDAP. Os clusters de administrador no VMware não são compatíveis com a autenticação com LDAP.
- Clusters do GKE no Google Cloud: os clusters do GKE precisam estar registrados na sua frota. Para se conectar a clusters do GKE que não estão em uma frota, use a federação de identidade da força de trabalho.
Processo de configuração
A configuração da autenticação de provedores de identidade terceirizados envolve os seguintes usuários e etapas:
- Configurar provedores: o administrador da plataforma registra um aplicativo cliente com o provedor de identidade. Esse aplicativo cliente tem a configuração específica do protocolo para o Kubernetes. O administrador da plataforma recebe um ID do cliente e uma chave secreta do provedor de identidade.
Configurar clusters: o administrador do cluster configura clusters para seu serviço de identidade. Os administradores de cluster podem configurar clusters da seguinte maneira:
- Configuração no nível da frota: o administrador do cluster configura todos os clusters registrados em uma frota específica. Use esse método para configurar vários clusters de uma só vez com uma configuração semelhante. Para mais informações, consulte Configurar a autenticação no nível da frota.
Configuração individual do cluster: o administrador do cluster configura cada cluster separadamente. Use esse método em cenários em que diferentes tipos de cluster precisam de configurações de autenticação diferentes. Para mais informações, consulte os seguintes documentos:
Configurar o acesso do usuário: o administrador do cluster configura o acesso de login do usuário para autenticar nos clusters usando a abordagem de acesso por FQDN (recomendado) ou acesso baseado em arquivos e, opcionalmente, configura o controle de acesso baseado em papéis (RBAC) do Kubernetes para usuários nesses clusters.