要使用 Tanzu CLI 连接到 主管 上的 Tanzu Kubernetes Grid 2.0 集群,请在 主管 中注册 OIDC 提供程序。
必备条件
- 启用工作负载管理并部署 主管 实例。请参见在主管上运行 TKG 2.0 集群。
- 使用 主管 回调 URL 配置外部 OpenID Connect 身份提供程序。请参见配置外部 IDP 以便与 TKG Service 集群结合使用。
- 从外部 IDP 中获取客户端 ID、客户端密钥和颁发者 URL。请参见配置外部 IDP 以便与 TKG Service 集群结合使用。
将外部 IDP 注册到 主管
主管 将 Pinniped 主管和 Pinniped Concierge 组件作为 Pod 运行。Tanzu Kubernetes Grid 集群仅将 Pinniped Concierge 组件作为 Pod 运行。有关这些组件及其交互方式的详细信息,请参阅 Pinniped 身份验证服务文档。
在 主管 中注册外部身份提供程序后,系统将更新 主管 上的 Pinniped 主管和 Pinniped Concierge Pod,以及 Tanzu Kubernetes Grid 集群上的 Pinniped Concierge Pod。在该 主管 实例上运行的所有 Tanzu Kubernetes Grid 集群都将自动配置该外部身份提供程序。
要向 主管 注册外部 ODIC 提供程序,请完成以下过程:
- 使用 vSphere Client 登录 vCenter Server。
- 选择。
- 单击加号以开始注册过程。
- 配置提供程序。请参见OIDC 提供程序配置。
图 1. OIDC 提供程序配置 
- 配置 OAuth 2.0 客户端详细信息。请参见OAuth 2.0 客户端详细信息。
图 2. OAuth 2.0 客户端详细信息 
- 配置其他设置。请参见其他设置。
- 确认提供商设置。
图 3. 确认提供商设置 
- 单击完成以完成 OIDC 提供程序注册。
OIDC 提供程序配置
向 主管 注册外部 OIDC 提供程序时,请参阅以下提供程序配置详细信息。
| 字段 | 重要性 | 描述 |
|---|---|---|
| 提供程序名称 |
必需 |
外部身份提供程序的用户定义名称。 |
| 颁发者 URL |
必需 |
颁发令牌的身份提供程序的 URL。OIDC 发现 URL 派生自颁发者 URL。 例如,Okta 颁发者 URL 可能类似于以下内容,且可以从管理控制台获取: https://trial-4359939-admin.okta.com。 |
| 用户名声明 |
可选 |
要检查的上游身份提供程序 ID 令牌或用户信息端点的声明,用于获取给定用户的用户名。如果将此字段留空,上游颁发者 URL 将与“sub”声明连接起来,以生成用于 Kubernetes 使用的用户名。 此字段指定为了确定进行身份验证,应从上游 ID 令牌中查看哪些 Pinniped。如果未提供,用户身份的格式将设置为 https://IDP-ISSUER?sub=UUID。 |
| 组声明 |
可选 |
要检查的上游身份提供程序 ID 令牌或用户信息端点的声明,用于获取给定用户的组。如果将此字段留空,则不使用上游身份提供程序中的任何组。 “组声明”字段将指示 Pinniped 从上游 ID 令牌中查找对用户身份进行身份验证所需的内容。 |
OAuth 2.0 客户端详细信息
向 主管 注册外部 OIDC 提供程序时,请参阅以下提供程序 OAuth 2.0 客户端详细信息。
| OAuth 2.0 客户端详细信息 | 重要性 | 描述 |
|---|---|---|
| 客户端 ID |
必需 |
外部 IDP 中的客户端 ID |
| 客户端密钥 |
必需 |
来自外部 IDP 的客户端密钥 |
其他设置
向 主管 注册外部 OIDC 提供程序时,请参考以下其他设置。
| 设置 | 重要性 | 描述 |
|---|---|---|
| 其他范围 |
可选 |
令牌中要请求的其他范围 |
| 证书颁发机构数据 |
可选 |
用于安全外部 IDP 连接的 TLS 证书颁发机构数据 |
| 其他授权参数 |
可选 |
OAuth2 授权请求期间的其他参数 |
