Vous pouvez utiliser des fournisseurs d'identité tiers existants pour vous authentifier auprès de vos clusters Kubernetes enregistrés dans un parc. Ce document décrit les protocoles d'authentification compatibles et les types de clusters compatibles avec chaque protocole. Les utilisateurs peuvent accéder à vos clusters et les gérer depuis la ligne de commande ou depuis la Google Cloud console, sans que vous ayez à modifier votre fournisseur d'identité.
Si vous préférez utiliser des ID Google pour vous connecter à vos clusters plutôt qu'un fournisseur d'identité, consultez la page Se connecter à des clusters enregistrés avec la passerelle Connect.
Fournisseurs d'identité acceptés
Si vous disposez d'un fournisseur d'identité tiers, vous pouvez utiliser les protocoles suivants pour vous authentifier auprès de vos clusters :
- OpenID Connect (OIDC) : OIDC est un protocole d'authentification moderne et léger, basé sur le framework d'autorisation OAuth 2.0. Nous fournissons des instructions spécifiques pour la configuration de certains fournisseurs OpenID Connect populaires, y compris Microsoft, mais vous pouvez choisir n'importe quel fournisseur utilisant une mise en œuvre OIDC.
- Security Assertion Markup Language (SAML) : SAML est une norme basée sur XML permettant d'échanger des données d'authentification et d'autorisation entre des parties, principalement entre un fournisseur d'identité (IdP) et un fournisseur de services (SP).
- Lightweight Directory Access Protocol (LDAP) : LDAP est un protocole normalisé et mature permettant d'accéder aux services d'annuaire et de les gérer. Il est couramment utilisé pour stocker et récupérer des informations sur les utilisateurs, telles que les noms d'utilisateur, les mots de passe et les appartenances à des groupes. Vous pouvez vous authentifier à l'aide de LDAP avec Active Directory ou un serveur LDAP.
Types de cluster compatibles
Ce service d'authentification ne peut être installé que sur des clusters qui sont enregistrés dans un parc. La plupart des types de clusters sont toujours enregistrés dans un parc. Pour les clusters GKE sur Google Cloud, vous devez enregistrer explicitement les clusters dans votre parc pour utiliser ce service.
Le tableau suivant décrit les types de clusters compatibles avec l'authentification tierce et les protocoles spécifiques que vous pouvez utiliser pour chaque type :
| Types de cluster et protocoles compatibles | |
|---|---|
| GDC (VMware) |
Compatible avec les protocoles suivants :
|
| GDC (Bare Metal) |
Compatible avec les protocoles suivants :
|
| GKE sur Google Cloud (membres du parc uniquement) | Compatible avec OIDC |
| GKE sur AWS |
Compatible avec OIDC |
| GKE sur Azure |
Compatible avec OIDC |
Les configurations suivantes ne sont pas compatibles :
- Clusters associés à GKE : toutes les installations EKS, AKS ou autres installations Kubernetes ne sont pas compatibles. Pour vous connecter à ces clusters associés à GKE, utilisez la passerelle Connect.
- Pour les déploiements VMware de Google Distributed Cloud, vous ne pouvez vous authentifier qu'auprès des clusters d'utilisateur à l'aide du protocole LDAP. Les clusters d'administrateur sur VMware ne sont pas compatibles avec l'authentification à l'aide de LDAP.
- Clusters GKE sur Google Cloud: vos clusters GKE doivent être enregistrés dans votre parc. Pour vous connecter à des clusters GKE qui ne font pas partie d'un parc, utilisez la fédération des identités des employés.
Processus de configuration
La configuration de l'authentification à partir de fournisseurs d'identité tiers implique les utilisateurs et étapes suivants :
- Configurer des fournisseurs: L'administrateur de plate-forme enregistre une application cliente auprès de son fournisseur d'identité. Cette application cliente dispose de la configuration spécifique au protocole pour Kubernetes. L'administrateur de plate-forme obtient un ID client et un secret auprès du fournisseur d'identité.
Configurer des clusters : l'administrateur de cluster configure les clusters pour votre service d'identité. Les administrateurs de cluster peuvent configurer les clusters comme suit :
- Configuration au niveau du parc : l'administrateur de cluster configure tous les clusters enregistrés dans un parc spécifique. Utilisez cette méthode pour configurer plusieurs clusters à la fois avec une configuration similaire. Pour en savoir plus, consultez Configurer l'authentification au niveau du parc.
Configuration individuelle des clusters : l'administrateur de cluster configure chaque cluster séparément. Utilisez cette méthode dans les cas où différents types de clusters nécessitent des configurations d'authentification différentes. Pour en savoir plus, consultez les documents suivants :
Configurer l'accès des utilisateurs: L'administrateur de cluster configure l'accès de connexion des utilisateurs pour s'authentifier sur les clusters à l'aide de l'approche accès FQDN (recommandée) ou accès basé sur les fichiers, et configure éventuellement le contrôle des accès basé sur les rôles (RBAC) Kubernetes pour les utilisateurs de ces clusters.