Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Configurar o Google OAuth

Se sua organização usa o G Suite para autenticação de usuários, você pode configurar o Rancher para permitir que seus usuários façam login usando suas credenciais do G Suite.

Somente administradores do domínio G Suite têm acesso ao Admin SDK. Portanto, apenas administradores do G Suite podem configurar o Google OAuth para o Rancher.

Dentro do Rancher, apenas administradores ou usuários com o Gerenciar Autenticação papel global podem configurar a autenticação.

Pré-requisitos

  • Você deve ter uma conta de administrador do G Suite configurada.

  • O G Suite requer um FQDN de domínio privado superior como um domínio autorizado. Uma maneira de obter um FQDN é criando um registro A no Route53 para o seu servidor Rancher. Você não precisa atualizar a configuração da URL do seu Servidor Rancher com esse registro, porque pode haver clusters usando essa URL.

  • Você deve ter a API do Admin SDK habilitada para o seu domínio G Suite. Você pode habilitá-la seguindo os passos nesta página.

    Depois que a API do Admin SDK estiver habilitada, a tela de API do seu domínio G Suite deve parecer com isto:

    Habilitar APIs de Admin

Configurando o G Suite para OAuth com o Rancher

Antes de configurar o Google OAuth no Rancher, você precisa fazer login na sua conta do G Suite e fazer o seguinte:

  1. Adicionar o Rancher como um domínio autorizado no G Suite

  2. Gerar credenciais OAuth2 para o servidor Rancher

  3. Criar credenciais de conta de serviço para o servidor Rancher

  4. Registrar a chave da conta de serviço como um Cliente OAuth

1. Adicionando o Rancher como um Domínio Autorizado

  1. Clique aqui para ir à página de credenciais do seu domínio Google.

  2. Selecione seu projeto e clique em Tela de consentimento OAuth.

    Tela de Consentimento OAuth

  3. Vá para Domínios Autorizados e insira o domínio privado superior da URL do seu servidor Rancher na lista. O domínio privado superior é o superdomínio mais à direita. Por exemplo, www.foo.co.uk é um domínio privado superior de foo.co.uk. Para mais informações sobre domínios de nível superior, consulte este artigo.

  4. Vá para Escopos para APIs do Google e certifique-se de que email, perfil e openid estão habilitados.

Resultado: O Rancher foi adicionado como um domínio autorizado para a API do Admin SDK.

2. Criando Credenciais OAuth2 para o Servidor Rancher

  1. Vá para o console da API do Google, selecione seu projeto e vá para a página de credenciais.

    Credenciais

  2. No menu suspenso Criar Credenciais, selecione ID do cliente OAuth.

  3. Clique em Aplicativo Web.

  4. Forneça um nome.

  5. Preencha os Origens JavaScript Autorizadas e URIs de redirecionamento autorizadas. Nota: A página da interface do usuário do Rancher para configurar o Google OAuth (disponível na visualização Global sob Segurança  Autenticação  Google) fornece os links exatos a serem inseridos para esta etapa.

    • Em Origens JavaScript Autorizadas, insira a URL do seu servidor Rancher.

    • Em URIs de redirecionamento autorizadas, insira a URL do seu servidor Rancher acrescida do caminho verify-auth. Por exemplo, se seu URI for https://rancherServer, você deve inserir https://rancherServer/verify-auth.

  6. Clique em Criar.

  7. Após a credencial ser criada, você verá uma tela com uma lista de suas credenciais. Escolha a credencial que você acabou de criar e, na linha do lado direito, clique em Baixar JSON. Salve o arquivo para que você possa fornecer essas credenciais ao Rancher.

Resultado: Suas credenciais OAuth foram criadas com sucesso.

3. Criando Credenciais de Conta de Serviço

Como o Google Admin SDK está disponível apenas para administradores, usuários comuns não podem usá-lo para recuperar perfis de outros usuários ou seus grupos. Usuários comuns não podem nem mesmo recuperar seus próprios grupos.

Como o Rancher fornece acesso baseado em grupos, exigimos que os usuários possam obter seus próprios grupos e procurar outros usuários e grupos quando necessário.

Como uma solução alternativa para obter essa capacidade, o G Suite recomenda criar uma conta de serviço e delegar a autoridade do seu domínio G Suite a essa conta de serviço.

Esta seção descreve como:

  • Criar uma conta de serviço

  • Criar uma chave para a conta de serviço e baixar as credenciais como JSON

    1. Clique aqui e selecione seu projeto para o qual você gerou credenciais OAuth.

    2. Clique em Criar Conta de Serviço.

    3. Digite um nome e clique em Criar.

      Criação da conta de serviço – Passo 1

    4. Não forneça nenhuma função na página Permissões da conta de serviço e clique em Continuar.

      Criação da conta de serviço – Passo 2

    5. Clique em Criar Chave e selecione a opção JSON. Baixe o arquivo JSON e salve-o para que você possa fornecê-lo como as credenciais da conta de serviço para o Rancher.

      Criação da conta de serviço – Passo 3

Resultado: Sua conta de serviço foi criada.

4. Registre a Chave da Conta de Serviço como um Cliente OAuth

Você precisará conceder algumas permissões à conta de serviço que criou na etapa anterior. O Rancher exige que você conceda apenas permissões de leitura para usuários e grupos.

Usando o ID Único da chave da conta de serviço, registre-o como um Cliente OAuth seguindo os passos abaixo:

  1. Obtenha o ID Único da chave que você acabou de criar. Se não estiver exibido na lista de chaves logo ao lado da que você criou, você terá que ativá-lo. Para ativá-lo, clique em ID Único e clique em OK. Isso adicionará uma coluna ID Único à lista de chaves da conta de serviço. Salve o que está listado para a conta de serviço que você criou. NOTA: Esta é uma chave numérica, não deve ser confundida com o campo alfanumérico ID da Chave.

    ID Único da conta de serviço

  2. Vá para a página Delegação em todo o domínio.

  3. Adicione o ID Único obtido na etapa anterior no campo Nome do Cliente.

  4. No campo Um ou Mais Escopos de API, adicione os seguintes escopos:

     openid,profile,email,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly

  5. Clique em Autorizar.

Resultado: A conta de serviço está registrada como um cliente OAuth na sua conta do G Suite.

Configurando o Google OAuth no Rancher

  1. Faça login no Rancher usando um usuário local atribuído ao papel administrador. Esse usuário também é chamado de principal local.

  2. No canto superior esquerdo, clique em ☰ > Usuários e Autenticação.

  3. No menu de navegação à esquerda, clique em Provedor de Autenticação.

  4. Clique em Google. As instruções na interface cobrem os passos para configurar a autenticação com o Google OAuth.

    1. Email do Administrador: Forneça o email de uma conta de administrador da sua configuração do GSuite. Para realizar buscas de usuários e grupos, as APIs do Google exigem o email de um administrador em conjunto com a chave da conta de serviço.

    2. Domínio: Forneça o domínio no qual você configurou o GSuite. Forneça o domínio exato e não quaisquer álias.

    3. Participação no Grupo Aninhado: Marque esta caixa para habilitar participações em grupos aninhados. Os administradores do Rancher podem desativar isso a qualquer momento após configurar a autenticação.

      • Passo Um é sobre adicionar o Rancher como um domínio autorizado, o que já cobrimos em esta seção.

      • Para Passo Dois, forneça o JSON das credenciais OAuth que você baixou após completar esta seção. Você pode fazer o upload do arquivo ou colar o conteúdo no campo Credenciais OAuth.

      • Para Passo Três, forneça o JSON das credenciais da conta de serviço que você baixou ao final de esta seção. As credenciais só funcionarão se você registrou a chave da conta de serviço como um cliente OAuth na sua conta do G Suite com sucesso.

  5. Clique em Autenticar com o Google.

  6. Clique em Habilitar.

Resultado: A autenticação do Google foi configurada com sucesso.