Vous pouvez utiliser des fournisseurs d'identité tiers existants pour vous authentifier auprès de vos clusters Kubernetes. Ce document décrit les protocoles d'authentification compatibles et les types de clusters compatibles avec chaque protocole. Les utilisateurs peuvent accéder à vos clusters et les gérer depuis la ligne de commande ou depuis la consoleGoogle Cloud , sans que vous ayez à modifier votre fournisseur d'identité.
Si vous préférez utiliser des ID Google pour vous connecter à vos clusters GKE plutôt qu'un fournisseur d'identité, consultez Se connecter à des clusters enregistrés avec la passerelle Connect.
Fournisseurs d'identité acceptés
Si vous disposez d'un fournisseur d'identité tiers, vous pouvez utiliser les protocoles suivants pour vous authentifier auprès de vos clusters :
- OpenID Connect (OIDC) : OIDC est un protocole d'authentification moderne et léger basé sur le framework d'autorisation OAuth 2.0. Nous fournissons des instructions spécifiques pour la configuration de certains fournisseurs OpenID Connect populaires, y compris Microsoft, mais vous pouvez choisir n'importe quel fournisseur utilisant une mise en œuvre OIDC.
- Security Assertion Markup Language (SAML) : SAML est une norme basée sur XML permettant d'échanger des données d'authentification et d'autorisation entre des parties, principalement entre un fournisseur d'identité (IdP) et un fournisseur de services (SP).
- Lightweight Directory Access Protocol (LDAP) : LDAP est un protocole standardisé et éprouvé pour accéder aux services d'annuaire et les gérer. Il est couramment utilisé pour stocker et récupérer des informations utilisateur, telles que les noms d'utilisateur, les mots de passe et les appartenances à des groupes. Vous pouvez vous authentifier à l'aide du protocole LDAP avec Active Directory ou un serveur LDAP.
Types de cluster compatibles
| Protocole | GDC (VMware) | GDC (Bare Metal) | GKE sur AWS | GKE sur Azure | GKE sur Google Cloud |
|---|---|---|---|---|---|
| OIDC | |||||
| LDAP | |||||
| SAML |
Vous ne pouvez pas vous authentifier auprès d'autres types de clusters associés à partir de fournisseurs d'identité tiers.
Processus de configuration
La configuration de l'authentification à partir de fournisseurs d'identité tiers implique les utilisateurs et étapes suivants :
- Configurer des fournisseurs : L'administrateur de plate-forme enregistre une application cliente auprès de son fournisseur d'identité. Cette application cliente dispose de la configuration spécifique au protocole pour Kubernetes. L'administrateur de plate-forme obtient un ID client et un secret auprès du fournisseur d'identité.
- Configurer des clusters individuels ou configurer votre parc : L'administrateur de cluster configure les clusters pour votre service d'identité. Les administrateurs de cluster peuvent configurer des clusters individuels pour Google Distributed Cloud (VMware et Bare Metal), GKE sur AWS ou GKE sur Azure. Vous pouvez également choisir de configurer un parc entier, qui est un groupe logique de clusters vous permettant d'activer des fonctionnalités et de mettre à jour la configuration sur ces clusters.
- Configurer l'accès des utilisateurs : l'administrateur de cluster configure l'accès de connexion des utilisateurs pour s'authentifier sur les clusters à l'aide de l'approche accès FQDN (recommandée) ou accès basé sur les fichiers, et configure éventuellement le contrôle des accès basé sur les rôles (RBAC) Kubernetes pour les utilisateurs de ces clusters.