Panoramica di GKE Identity Service

GKE Identity Service è un servizio di autenticazione che si integra con le soluzioni per le identità esistenti, consentendoti di utilizzarle in più ambienti GKE Enterprise. Gli utenti possono accedere ai cluster GKE e gestirli dalla riga di comando o dalla console Google Cloud, il tutto utilizzando il tuo provider di identità esistente.

Se preferisci utilizzare gli ID Google per accedere ai tuoi cluster GKE anziché a un provider di identità, consulta Connettersi ai cluster registrati con il gateway Connect.

Provider di identità supportati

GKE Identity Service supporta i seguenti protocolli del provider di identità per verificare e autenticare gli utenti quando tentano di accedere a risorse o servizi:

  • OpenID Connect (OIDC): OIDC è un protocollo di autenticazione moderno e leggero, basato sul framework di autorizzazione OAuth 2.0. Forniamo istruzioni specifiche per la configurazione di alcuni provider OpenID Connect più diffusi, tra cui Microsoft, ma puoi utilizzare qualsiasi provider che implementi OIDC.
  • SAML (Security Assertion Markup Language): SAML è uno standard basato su XML per lo scambio di dati di autenticazione e autorizzazione tra le parti, principalmente tra un provider di identità (IdP) e un fornitore di servizi (SP). Puoi utilizzare GKE Identity Service per l'autenticazione mediante SAML.
  • Lightweight Directory Access Protocol (LDAP): LDAP è un protocollo maturo standardizzato per l'accesso e la gestione dei servizi informativi delle directory. Viene solitamente utilizzato per archiviare e recuperare le informazioni degli utenti, come nomi utente, password e iscrizioni ai gruppi. Puoi utilizzare GKE Identity Service per eseguire l'autenticazione tramite LDAP con Active Directory o un server LDAP.

Tipi di cluster supportati

Protocollo GKE su VMware GKE su Bare Metal GKE su AWS GKE su Azure Cluster collegati a EKS GKE
OIDC
LDAP
SAML

Gli altri tipi di cluster collegati non sono supportati per l'utilizzo con GKE Identity Service.

Procedura di configurazione

La configurazione di GKE Identity Service per i cluster prevede i seguenti utenti e passaggi di processo:

  1. Configura provider: l'amministratore della piattaforma registra GKE Identity Service come applicazione client con il suo provider di identità preferito e recupera un ID client e un secret.
  2. Configura singoli cluster o configura il tuo parco risorse: l'amministratore del cluster configura i cluster per il tuo servizio di identità. Puoi configurare GKE Identity Service su cluster per cluster per i cluster GKE on-premise (sia VMware che bare metal), su AWS e su Azure. In alternativa, puoi scegliere di configurare GKE Identity Service per un parco risorse, che è un gruppo logico di cluster che ti consente di abilitare le funzionalità e aggiornare la configurazione su questi cluster.
  3. Configura l'accesso utente: l'amministratore del cluster configura l'accesso degli utenti per autenticarsi nei cluster utilizzando l'approccio accesso basato su file (consigliato) o accesso basato su file e, facoltativamente, configura il controllo controllo dell'accesso basato su ruoli (RBAC) (RBAC) di Kubernetes per gli utenti di questi cluster.

Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.

Ultimo aggiornamento 2024-06-12 UTC.