Você pode configurar o Supervisor com qualquer provedor de identidade compatível com OIDC, como o Okta. Você configura o IDP com a URL de retorno de chamada para Supervisor.
Provedores OIDC Externos Suportados
IDP externo | Configuração |
---|---|
Exemplo de configuração do OIDC usando o Okta Consulte também Configurar o Okta como um provedor OIDC para Pinniped |
|
Configurar Workspace ONE Access como um provedor OIDC para Pinniped |
|
Google OAuth |
Configurando o IDP com a URL de retorno de chamada para Supervisor
https://SUPERVISOR-VIP/wcp/pinniped/callback
.
Ao configurar o provedor de identidade externo para uso com o TKG em Supervisor, você fornece ao provedor de identidade externo a URL de retorno de chamada que está disponível em vCenter Server em .
Exemplo de configuração do OIDC usando o Okta
- Copie a URL de retorno de chamada do provedor de identidade necessária para criar uma conexão OIDC entre o Okta e o vCenter Server.
Usando o vSphere Client, obtenha a URL de retorno de chamada do provedor de identidade em
. Copie essa URL para um local temporário. - Faça login na conta do Okta para sua organização ou crie uma conta de avaliação em https://www.okta.com/. Clique no botão Administrador para abrir o console de administração do Okta.
- Na página Introdução no console do administrador, navegue até .
- Selecione a opção para Criar integração de aplicativo (Create App Integration).
- Crie a nova integração do aplicativo.
- Defina o método de login como OIDC - OpenID Connect
- Defina o tipo de aplicativo como WebAplicativo
- Configure os detalhes de integração do aplicativo Web do Okta.
- Forneça um Nome de integração do aplicativo, que é uma string definida pelo usuário.
- Especifique o Tipo de concessão: selecione Código de autorização e também selecione Atualizar token.
- URIs de redirecionamento de login: digite a URL de retorno de chamada do provedor de identidade que você copiou de Supervisor (consulte a Etapa 1), como
https://10.27.62.33/wcp/pinnipend/callback
. - URIs de redirecionamento de logout: digite a URL de retorno de chamada do provedor de identidade que você copiou de Supervisor (consulte a Etapa 1), como
https://10.27.62.33/wcp/pinnipend/callback
.
- Configure o controle de acesso do usuário.
Na seção Tanzu Kubernetes Grid. No exemplo, permita que todos os definidos na organização tenham acesso.
, você tem a opção de controlar quais usuários do Okta que existem em sua organização podem acessar clusters - Clique em Salvar (Save) e copie o ID do cliente (Client ID) e o Segredo do cliente (Client Secret) que são retornados.
Quando você salva a configuração da OKTA, o console de administração fornece um ID do cliente (Client ID) e um Segredo do cliente (Client Secret). Copie os dois dados porque você precisa deles para configurar o Supervisor com um provedor de identidade externo.
- Configure o token de ID do OpenID Connect.
Clique na guia Fazer login (Sign On). Na seção Token de ID do OpenID Connect (OpenID Connect ID Token), clique no link Editar, preencha o filtro Tipo de declaração de grupos (Groups claim type ) e Salvar (Save) as configurações.
Por exemplo, se você quiser que o nome da reivindicação "grupos" corresponda a todos os grupos, selecione
. - Copie a URL do emissor (Issuer URL).
Para configurar o Supervisor, você precisa do URL do emissor (Issuer URL), além do ID do cliente (Client ID) e do Segredo do cliente (Client Secret).
Copie a URL do emissor (Issuer URL) do console de administração do Okta.