Para se conectar a clusters Tanzu Kubernetes Grid em Supervisor usando a CLI Tanzu, registre seu provedor OIDC com Supervisor.

Pré-requisitos

Antes de registrar um provedor ODIC externo com Supervisor, conclua os seguintes pré-requisitos:

Registrar um IDP Externo com Supervisor

Supervisor executa como pods os componentes Pinniped Supervisor e Pinniped Concierge. Os clusters Tanzu Kubernetes Grid são executados como pods somente no componente Pinniped Concierge. Para obter mais informações sobre esses componentes e como eles interagem, consulte a documentação do Serviço de autenticação Pinniped.

Depois que você registrar um provedor de identidade externo com Supervisor, o sistema atualizará os pods Pinniped Supervisor e Pinniped Concierge em Supervisor e os pods Pinniped Concierge em clusters Tanzu Kubernetes Grid. Todos os clusters Tanzu Kubernetes Grid em execução nessa instância Supervisor são configurados automaticamente com esse mesmo provedor de identidade externo.

Para registrar um provedor ODIC externo com Supervisor, conclua o seguinte procedimento:

  1. Faça login no vCenter Server usando o vSphere Client.
  2. Selecione Gerenciamento de carga de trabalho (Workload Management) > Supervisores (Supervisors) > Configurar ( Configure) > Provedores de identidade (Identity Providers).
  3. Clique no sinal de mais para iniciar o processo de registro.
  4. Configure o provedor. Consulte Configuração do provedor OIDC.
    Figura 1. Configuração do provedor OIDC
    Configuração do provedor OIDC
  5. Configure os detalhes do cliente OAuth 2.0. Consulte Detalhes do cliente OAuth 2.0.
    Figura 2. Detalhes do cliente OAuth 2.0
    Detalhes do cliente OAuth 2.0
  6. Defina configurações adicionais. Consulte Configurações adicionais.
  7. Confirme as configurações do provedor.
    Figura 3. Confirmar configurações do provedor
    Confirme as configurações do provedor
  8. Clique em Concluir (Finish) para concluir o registro do provedor OIDC.

Configuração do provedor OIDC

Consulte os seguintes detalhes de configuração do provedor ao registrar um provedor OIDC externo com Supervisor.

Tabela 1. Configuração do provedor OIDC
Campo Importância Descrição

Nome do provedor

Obrigatório

Nome definido pelo usuário para o provedor de identidade externo.

URL do emissor

Obrigatório

A URL para o provedor de identidade que emite tokens. A URL de descoberta do OIDC é derivada da URL do emissor.

Por exemplo, a URL do emissor do Okta pode ter a seguinte aparência e pode ser obtida no Admin Console: https://trial-4359939-admin.okta.com.

Reivindicação de nome de usuário

Opcional

A declaração do token de ID do provedor de identidade de upstream ou do endpoint de informações do usuário a ser inspecionado para obter o nome de usuário para o usuário especificado. Se você deixar esse campo vazio, a URL do emissor de upstream será concatenada com a declaração "sub" para gerar o nome de usuário a ser usado com o Kubernetes.

Esse campo especifica o que o Pinniped deve examinar no token de ID de upstream para determinar a autenticação. Se não for fornecida, a identidade do usuário será formatada como https://IDP-ISSUER?sub=UUID.

Reivindicação de grupos

Opcional

A declaração do token de ID do provedor de identidade de upstream ou do endpoint de informações do usuário a ser inspecionado para obter os grupos para o usuário determinado. Se você deixar esse campo vazio, nenhum grupo será usado do provedor de identidade upstream.

O campo Declarações de Grupo informa ao Pinniped o que observar no token de ID de upstream para autenticar a identidade do usuário.

Detalhes do cliente OAuth 2.0

Consulte os seguintes detalhes do cliente OAuth 2.0 do provedor ao registrar um provedor OIDC externo com Supervisor.

Tabela 2. Detalhes do cliente OAuth 2.0
Detalhes do cliente OAuth 2.0 Importância Descrição

ID do cliente

Obrigatório

ID do cliente do IDP externo

Segredo do cliente

Obrigatório

Segredo do cliente do IDP externo

Configurações adicionais

Consulte as seguintes configurações adicionais ao registrar um provedor OIDC externo com Supervisor.

Tabela 3. Configurações adicionais
Configuração Importância Descrição

Escopos Adicionais

Opcional

Escopos adicionais a serem solicitados em tokens

Dados da autoridade de certificação

Opcional

Dados da autoridade de certificação TLS para conexão IDP externa segura

Parâmetros de autorização adicionais

Opcional

Parâmetros adicionais durante a solicitação de autorização do OAuth2