您可以为 主管 配置任何符合 OIDC 的身份提供程序,例如 Okta。可以使用回调 URL 为 主管 配置 IDP。
支持的外部 OIDC 提供程序
使用 主管 的回调 URL 配置 IDP
主管 可用作外部身份提供程序的 OAuth 2.0 客户端。
主管 回调 URL 是用于配置外部 IDP 的重定向 URL。回调 URL 采用
https://SUPERVISOR-VIP/wcp/pinniped/callback 形式。
注: 执行 IDP 注册时,此回调 URL 在您要配置的 OIDC 提供程序中可能称为“重定向 URL”。
配置外部身份提供程序以供 主管 上的 TKG 使用时,可为此外部身份提供程序提供回调 URL,此 URL 可从 vCenter Server 的屏幕中获取。
使用 Okta 的 OIDC 配置示例
Okta 允许用户使用
OpenID Connect 协议登录到应用程序。将 Okta 配置为
主管 上的
Tanzu Kubernetes Grid 的外部身份提供程序后,
主管 和
Tanzu Kubernetes Grid 集群上的 Pinniped Pod 可控制用户对
vSphere 命名空间 和工作负载集群的访问。
- 复制在 Okta 和 vCenter Server 之间创建 OIDC 连接所需的身份提供程序回调 URL。
使用 vSphere Client,从中获取身份提供程序回调 URL。将此 URL 复制到临时位置。
图 1. IDP 回调 URL 
- 登录到组织的 Okta 帐户,或在 https://www.okta.com/ 中创建一个试用帐户。单击管理按钮以打开 Okta 管理控制台。
图 2. Okta 管理控制台 
- 从管理控制台的“入门”页面中,导航到。
图 3. Okta 入门 
- 选择创建应用程序集成选项。
图 4. Okta 创建应用集成 
- 创建新的应用程序集成。
- 将登录方法设置为 OIDC - OpenID Connect
- 将应用程序类型设置为 Web 应用程序
图 5. Okta 登录方法和应用程序类型 
- 配置 Okta Web 应用程序集成详细信息。
- 提供应用程序集成名称,此名称是一个用户定义的字符串。
- 指定授权类型:选择授权代码,并选择刷新令牌。
- 登录重定向 URI:输入从 主管 复制的身份提供程序回调 URL(参见步骤 1),例如 https://10.27.62.33/wcp/pinnipend/callback。
- 注销重定向 URI:输入从 主管 复制的身份提供程序回调 URL(参见步骤 1),例如 https://10.27.62.33/wcp/pinnipend/callback。
图 6. Okta Web 应用程序集成详细信息 
- 配置用户访问控制。
在部分中,您可以选择性地控制组织中的哪些 Okta 用户可以访问 Tanzu Kubernetes Grid 集群。在该示例中,允许组织中定义的每个用户都具有访问权限。
图 7. Okta 访问控制 
- 单击保存并复制返回的客户端 ID 和客户端密钥。
保存 OKTA 配置时,管理控制台会为您提供客户端 ID 和客户端密钥。复制这两条数据,因为您在为 主管 配置外部身份提供程序时需要使用它们。
图 8. OIDC 客户端 ID 和密钥 
- 配置 OpenID Connect ID 令牌。
单击登录选项卡。在 OpenID Connect ID 令牌部分中,单击“编辑”链接,填写组声明类型筛选器,然后单击保存以保存设置。
例如,如果您希望使用声明名称“groups”匹配所有组,请选择。
图 9. OpenID Connect ID 令牌 
- 复制颁发者 URL。
要配置 主管,除了客户端 ID 和客户端密钥之外,您还需要颁发者 URL。
从 Okta 管理控制台复制 颁发者 URL。图 10. Okta 颁发者 URL 
