Pode usar fornecedores de identidade de terceiros existentes para autenticar os seus clusters do Kubernetes. Este documento descreve os protocolos de autenticação suportados e os tipos de clusters que suportam cada protocolo. Os utilizadores podem aceder e gerir os seus clusters a partir da linha de comandos ou da Google Cloud consola, sem que tenha de alterar o seu fornecedor de identidade.
Se preferir usar IDs Google para iniciar sessão nos seus clusters do GKE em vez de um fornecedor de identidade, consulte o artigo Estabeleça ligação a clusters registados com o gateway Connect.
Fornecedores de identidade suportados
Se tiver um fornecedor de identidade de terceiros, pode usar os seguintes protocolos para autenticar os seus clusters:
- OpenID Connect (OIDC): o OIDC é um protocolo de autenticação moderno e simples criado com base na estrutura de autorização OAuth 2.0. Fornecemos instruções específicas para a configuração de alguns fornecedores populares do OpenID Connect, incluindo a Microsoft, mas pode usar qualquer fornecedor que implemente o OIDC.
- Linguagem de marcação de declaração de segurança (SAML): o SAML é uma norma baseada em XML para trocar dados de autenticação e autorização entre partes, principalmente entre um fornecedor de identidade (IdP) e um fornecedor de serviços (SP).
- Protocolo LDAP (Lightweight Directory Access Protocol): o LDAP é um protocolo padronizado e desenvolvido para aceder e gerir serviços de informações de diretório. É comummente usado para armazenar e obter informações do utilizador, como nomes de utilizador, palavras-passe e associações a grupos. Pode fazer a autenticação através do LDAP com o Active Directory ou um servidor LDAP.
Tipos de clusters suportados
| Protocolo | GDC (VMware) | GDC (bare metal) | GKE no AWS | GKE no Azure | GKE no Google Cloud |
|---|---|---|---|---|---|
| OIDC | |||||
| LDAP | |||||
| SAML |
Não pode autenticar-se noutros tipos de clusters anexados a partir de fornecedores de identidade de terceiros.
Processo de configuração
A configuração da autenticação a partir de Fornecedores de identidade de terceiros envolve os seguintes utilizadores e passos:
- Configurar fornecedores: O administrador da plataforma regista uma aplicação cliente junto do respetivo fornecedor de identidade. Esta aplicação cliente tem a configuração específica do protocolo para o Kubernetes. O administrador da plataforma recebe um ID de cliente e um segredo do fornecedor de identidade.
- Configure clusters individuais ou configure a sua frota: O administrador do cluster configura clusters para o seu serviço de identidade. Os administradores de clusters podem configurar clusters individuais para o Google Distributed Cloud (VMware e bare metal), o GKE na AWS ou o GKE no Azure. Em alternativa, pode optar por configurar uma frota inteira, que é um grupo lógico de clusters que lhe permite ativar funcionalidades e atualizar a configuração nestes clusters.
- Configure o acesso do utilizador: O administrador do cluster configura o acesso de início de sessão do utilizador para autenticar nos clusters através da abordagem de acesso FQDN (recomendada) ou acesso baseado em ficheiros e, opcionalmente, configura o controlo de acesso baseado em funções (RBAC) do Kubernetes para utilizadores nestes clusters.