Você pode configurar o Supervisor com qualquer provedor de identidade compatível com OIDC, como o Okta. Você configura o IDP com a URL de retorno de chamada para Supervisor.

Provedores OIDC Externos Suportados

Configurando o IDP com a URL de retorno de chamada para Supervisor

Supervisor atua como um cliente OAuth 2.0 para o provedor de identidade externo. A URL de retorno de chamada Supervisor é a URL de redirecionamento usada para configurar o IDP externo. A URL de retorno de chamada tem o formato https://SUPERVISOR-VIP/wcp/pinniped/callback.
Observação: Ao realizar o registro do IDP, a URL de retorno de chamada pode ser chamada de "URL de redirecionamento" no provedor OIDC que você está configurando.

Ao configurar o provedor de identidade externo para uso com o TKG em Supervisor, você fornece ao provedor de identidade externo a URL de retorno de chamada que está disponível em vCenter Server em Gerenciamento de carga de trabalho (Workload Management) > Supervisores (Supervisors) > Configurar ( Configure) > Provedores de identidade (Identity Providers).

Exemplo de configuração do OIDC usando o Okta

O Okta permite que os usuários façam login em aplicativos usando o protocolo OpenID Connect. Quando você configura o Okta como um provedor de identidade externo para Tanzu Kubernetes Grid em Supervisor, os pods Pinniped nos clusters Supervisor e em Tanzu Kubernetes Grid controlam o acesso do usuário aos clusters vSphere Namespaces e de carga de trabalho.
  1. Copie a URL de retorno de chamada do provedor de identidade necessária para criar uma conexão OIDC entre o Okta e o vCenter Server.

    Usando o vSphere Client, obtenha a URL de retorno de chamada do provedor de identidade em Gerenciamento de carga de trabalho (Workload Management) > Supervisores (Supervisors) > Configure ( Configure) > Provedores de identidade (Identity Providers). Copie essa URL para um local temporário.

    Figura 1. URL de retorno de chamada do IDP
    URL de retorno de chamada do IDP
  2. Faça login na conta do Okta para sua organização ou crie uma conta de avaliação em https://www.okta.com/. Clique no botão Administrador para abrir o console de administração do Okta.
    Figura 2. Console de administração do Okta
    Okta Admin Console
  3. Na página Introdução no console do administrador, navegue até Aplicativos (Applications) > Aplicativos (Applications).
    Figura 3. Introdução ao Okta
    Introdução do Okta
  4. Selecione a opção para Criar integração de aplicativo (Create App Integration).
    Figura 4. Integração do aplicativo Okta Create
    Integração do aplicativo Okta Create
  5. Crie a nova integração do aplicativo.
    • Defina o método de login como OIDC - OpenID Connect
    • Defina o tipo de aplicativo como WebAplicativo
    Figura 5. Método de logon do Okta e tipo de aplicativo
    Método de logon do Okta e tipo de aplicativo
  6. Configure os detalhes de integração do aplicativo Web do Okta.
    • Forneça um Nome de integração do aplicativo, que é uma string definida pelo usuário.
    • Especifique o Tipo de concessão: selecione Código de autorização e também selecione Atualizar token.
    • URIs de redirecionamento de login: digite a URL de retorno de chamada do provedor de identidade que você copiou de Supervisor (consulte a Etapa 1), como https://10.27.62.33/wcp/pinnipend/callback.
    • URIs de redirecionamento de logout: digite a URL de retorno de chamada do provedor de identidade que você copiou de Supervisor (consulte a Etapa 1), como https://10.27.62.33/wcp/pinnipend/callback.
    Figura 6. Detalhes de integração do aplicativo Okta Web
    Detalhes de integração do aplicativo Okta Web
  7. Configure o controle de acesso do usuário.

    Na seção Atribuições (Assignments) > Acesso controlado (Controlled access ), você tem a opção de controlar quais usuários do Okta que existem em sua organização podem acessar clusters Tanzu Kubernetes Grid. No exemplo, permita que todos os definidos na organização tenham acesso.

    Figura 7. Controle de acesso do Okta
    Controle de acesso do Okta
  8. Clique em Salvar (Save) e copie o ID do cliente (Client ID) e o Segredo do cliente (Client Secret) que são retornados.

    Quando você salva a configuração da OKTA, o console de administração fornece um ID do cliente (Client ID) e um Segredo do cliente (Client Secret). Copie os dois dados porque você precisa deles para configurar o Supervisor com um provedor de identidade externo.

    Figura 8. Segredo e ID do cliente OIDC
    ID do cliente e segredo do OIDC
  9. Configure o token de ID do OpenID Connect.

    Clique na guia Fazer login (Sign On). Na seção Token de ID do OpenID Connect (OpenID Connect ID Token), clique no link Editar, preencha o filtro Tipo de declaração de grupos (Groups claim type ) e Salvar (Save) as configurações.

    Por exemplo, se você quiser que o nome da reivindicação "grupos" corresponda a todos os grupos, selecione grupos (groups) > Corresponde a regex (Matches regex) > *.

    Figura 9. Token de ID do OpenID Connect
    Token de ID do OpenID Connect
  10. Copie a URL do emissor (Issuer URL).

    Para configurar o Supervisor, você precisa do URL do emissor (Issuer URL), além do ID do cliente (Client ID) e do Segredo do cliente (Client Secret).

    Copie a URL do emissor (Issuer URL) do console de administração do Okta.
    Figura 10. URL do emissor do Okta
    URL do emissor do Okta