# #google-kubernetes-engine
Вопрос:
У меня есть веб-приложение, развернутое в GKE, и нам нужно пройти аутентификацию через Azure AD. доступ ограничен веб-приложением, а не другими компонентами GCP. поскольку у нас ограниченное число пользователей, мы вручную создали этих пользователей в приложении, и эти пользователи также существуют в Azure AD. просто хотел получить мнение эксперта о том, как лучше всего реализовать аутентификацию?
заранее спасибо за помощь.
Комментарии:
1. Просто чтобы уточнить, ваша цель-аутентифицировать пользователей вашего веб-приложения (которое размещено на GKE) в Azure AD?
2. привет, Гари, да, безусловно, это моя цель.
3. На каком языке написано ваше приложение?
4. Но, учитывая, что проверка подлинности выполняется на уровне приложения, я бы рекомендовал использовать OIDC с Azure AD ( docs.microsoft.com/en-us/azure/active-directory/fundamentals/… ).
5. его java. да, я наткнулся на этот документ, это здорово! спасибо за ваш вклад. в этом есть смысл. я рассматривал возможность использования SAML, но определенно в этом случае имеет смысл использовать OIDC или OAuth2. спасибо за помощь!
Ответ №1:
Если вас беспокоит, что доступ должно получать только веб-приложение, вам не нужно сильно беспокоиться, так как при настройке аутентификации с помощью Azure AD Azure Ad разумно выдавать токен в Google app engine, и вы не можете использовать тот же токен с любым другим ресурсом. Чтобы получить больше ясности, пожалуйста, откройте https://jwt.ms и вставьте туда токен, чтобы понять, для кого выдан токен и каков срок действия токена.
Также, пожалуйста, обратитесь к документации GCP https://cloud.google.com/architecture/identity/federating-gcp-with-azure-ad-configuring-provisioning-and-single-sign-on#configuring_azure_ad_provisioning
Комментарии:
1. спасибо Рохиту за отзыв! я решил перейти на аутентификацию по протоколу oauth и зарегистрировал приложение в azure ad.