Puede usar proveedores de identidades de terceros para autenticar sus clústeres de Kubernetes registrados en una flota. En este documento se describen los protocolos de autenticación admitidos y los tipos de clústeres que admiten cada protocolo. Los usuarios pueden acceder a tus clústeres y gestionarlos desde la línea de comandos o desde la consola de Google Cloud sin que tengas que cambiar tu proveedor de identidades.
Si prefieres usar IDs de Google para iniciar sesión en tus clústeres en lugar de usar un proveedor de identidades, consulta Conectarse a clústeres registrados con la pasarela Connect.
Proveedores de identidades admitidos
Si tienes un proveedor de identidades de terceros, puedes usar los siguientes protocolos para autenticarte en tus clústeres:
- OpenID Connect (OIDC): OIDC es un protocolo de autenticación moderno y ligero basado en el marco de autorización OAuth 2.0. Ofrecemos instrucciones específicas para configurar algunos proveedores populares de OpenID Connect, como Microsoft, pero puedes usar cualquier proveedor que implemente OIDC.
- Lenguaje de marcado para confirmaciones de seguridad (SAML): SAML es un estándar basado en XML para intercambiar datos de autenticación y autorización entre partes, principalmente entre un proveedor de identidades (IdP) y un proveedor de servicios.
- Protocolo ligero de acceso a directorios (LDAP): LDAP es un protocolo estandarizado y consolidado para acceder a servicios de información de directorios y gestionarlos. Se suele usar para almacenar y recuperar información de los usuarios, como nombres de usuario, contraseñas y pertenencia a grupos. Puedes autenticarte mediante LDAP con Active Directory o un servidor LDAP.
Tipos de clúster admitidos
Este servicio de autenticación solo se puede instalar en clústeres registrados en una flota. La mayoría de los tipos de clústeres siempre están registrados en una flota. En los clústeres de GKE en Google Cloud, debes registrar explícitamente los clústeres en tu flota para usar este servicio.
En la siguiente tabla se describen los tipos de clústeres que admiten la autenticación de terceros y los protocolos específicos que puedes usar en cada tipo:
| Tipos de clústeres y protocolos admitidos | |
|---|---|
| GDC (VMware) |
Admite los siguientes protocolos:
|
| GDC (Bare Metal) |
Admite los siguientes protocolos:
|
| GKE en Google Cloud (solo para miembros de la flota) | Admite OIDC |
| GKE en AWS |
Admite OIDC |
| GKE en Azure |
Admite OIDC |
No se admiten las siguientes configuraciones:
- Clústeres adjuntos de GKE: no se admiten instalaciones de EKS, AKS ni de otros tipos de Kubernetes. Para conectarte a estos clústeres de GKE adjuntos, usa Connect Gateway.
- En las implementaciones de VMware de Google Distributed Cloud, solo puedes autenticarte en clústeres de usuarios mediante el protocolo LDAP. Los clústeres de administrador en VMware no admiten la autenticación con LDAP.
- Clústeres de GKE: los clústeres de GKE deben estar registrados en tu flota. Google Cloud Para conectarte a clústeres de GKE que no estén en una flota, usa Federación de Identidades de Workforce.
Proceso de configuración
Para configurar la autenticación de proveedores de identidades externos, se deben seguir estos pasos y se deben tener en cuenta los siguientes usuarios:
- Configurar proveedores: el administrador de la plataforma registra una aplicación cliente con su proveedor de identidades. Esta aplicación cliente tiene la configuración específica del protocolo para Kubernetes. El administrador de la plataforma obtiene un ID de cliente y un secreto del proveedor de identidades.
Configurar clústeres: el administrador de clústeres configura los clústeres de tu servicio de identidad. Los administradores de clústeres pueden configurar los clústeres de la siguiente manera:
- Configuración a nivel de flota: el administrador del clúster configura todos los clústeres registrados en una flota específica. Usa este método para configurar varios clústeres a la vez con una configuración similar. Para obtener más información, consulta Configurar la autenticación a nivel de flota.
Configuración de clústeres individuales: el administrador del clúster configura cada clúster por separado. Usa este método en situaciones en las que diferentes tipos de clúster necesiten configuraciones de autenticación distintas. Para obtener más información, consulta los siguientes documentos:
Configurar el acceso de los usuarios: El administrador del clúster configura el acceso de inicio de sesión de los usuarios para autenticarse en los clústeres mediante el acceso FQDN (recomendado) o el acceso basado en archivos, y, opcionalmente, configura el control de acceso basado en roles (RBAC) de Kubernetes para los usuarios de estos clústeres.