Para se conectar a clusters Tanzu Kubernetes Grid em Supervisor usando a CLI Tanzu, registre seu provedor OIDC com Supervisor.
Pré-requisitos
- Ative o Workload Management e implemente uma instância Supervisor. Consulte Executando clusters do TKG 2 no Supervisor.
- Configure um provedor de identidade externo do OpenID Connect com a URL de retorno de chamada Supervisor. Consulte Configurar um IDP externo para uso com o TKG 2 em Supervisor.
- Obtenha a ID do cliente, o Segredo do cliente e a URL do emissor do IDP externo. Consulte Configurar um IDP externo para uso com o TKG 2 em Supervisor.
Registrar um IDP Externo com Supervisor
Supervisor executa como pods os componentes Pinniped Supervisor e Pinniped Concierge. Os clusters Tanzu Kubernetes Grid são executados como pods somente no componente Pinniped Concierge. Para obter mais informações sobre esses componentes e como eles interagem, consulte a documentação do Serviço de autenticação Pinniped.
Depois que você registrar um provedor de identidade externo com Supervisor, o sistema atualizará os pods Pinniped Supervisor e Pinniped Concierge em Supervisor e os pods Pinniped Concierge em clusters Tanzu Kubernetes Grid. Todos os clusters Tanzu Kubernetes Grid em execução nessa instância Supervisor são configurados automaticamente com esse mesmo provedor de identidade externo.
Para registrar um provedor ODIC externo com Supervisor, conclua o seguinte procedimento:
- Faça login no vCenter Server usando o vSphere Client.
- Selecione .
- Clique no sinal de mais para iniciar o processo de registro.
- Configure o provedor. Consulte Configuração do provedor OIDC.
- Configure os detalhes do cliente OAuth 2.0. Consulte Detalhes do cliente OAuth 2.0.
- Defina configurações adicionais. Consulte Configurações adicionais.
- Confirme as configurações do provedor.
- Clique em Concluir (Finish) para concluir o registro do provedor OIDC.
Configuração do provedor OIDC
Consulte os seguintes detalhes de configuração do provedor ao registrar um provedor OIDC externo com Supervisor.
Campo | Importância | Descrição |
---|---|---|
Nome do provedor |
Obrigatório |
Nome definido pelo usuário para o provedor de identidade externo. |
URL do emissor |
Obrigatório |
A URL para o provedor de identidade que emite tokens. A URL de descoberta do OIDC é derivada da URL do emissor. Por exemplo, a URL do emissor do Okta pode ter a seguinte aparência e pode ser obtida no console do administrador: https://trial-4359939-admin.okta.com. |
Reivindicação de nome de usuário |
Opcional |
A declaração do token de ID do provedor de identidade de upstream ou do endpoint de informações do usuário a ser inspecionado para obter o nome de usuário para o usuário determinado. Se você deixar esse campo vazio, a URL do emissor de upstream será concatenada com a declaração "sub" para gerar o nome de usuário a ser usado com o Kubernetes. Esse campo especifica o que o Pinniped deve examinar no token de ID de upstream para determinar a autenticação. Se não for fornecida, a identidade do usuário será formatada como https://IDP-ISSUER?sub=UUID. |
Reivindicação de grupos |
Opcional |
A declaração do token de ID do provedor de identidade de upstream ou do endpoint de informações do usuário a ser inspecionado para obter os grupos para o usuário determinado. Se você deixar esse campo vazio, nenhum grupo será usado do provedor de identidade upstream. O campo Declarações de Grupo informa ao Pinniped o que observar no token de ID de upstream para autenticar a identidade do usuário. |
Detalhes do cliente OAuth 2.0
Consulte os seguintes detalhes do cliente OAuth 2.0 do provedor ao registrar um provedor OIDC externo com Supervisor.
Detalhes do cliente OAuth 2.0 | Importância | Descrição |
---|---|---|
ID do cliente |
Obrigatório |
ID do cliente do IDP externo |
Segredo do cliente |
Obrigatório |
Segredo do cliente do IDP externo |
Configurações adicionais
Consulte as seguintes configurações adicionais ao registrar um provedor OIDC externo com Supervisor.
Configuração | Importância | Descrição |
---|---|---|
Escopos Adicionais |
Opcional |
Escopos adicionais a serem solicitados em tokens |
Dados da autoridade de certificação |
Opcional |
Dados da autoridade de certificação TLS para conexão IDP externa segura |
Parâmetros de autorização adicionais |
Opcional |
Parâmetros adicionais durante a solicitação de autorização do OAuth2 |