要使用 Tanzu CLI 连接到 主管 上的 Tanzu Kubernetes Grid 2.0 集群,请在 主管 中注册 OIDC 提供程序。

必备条件

在向 主管 注册外部 ODIC 提供程序之前,请完成以下必备条件:

将外部 IDP 注册到 主管

主管 将 Pinniped 主管和 Pinniped Concierge 组件作为 Pod 运行。Tanzu Kubernetes Grid 集群仅将 Pinniped Concierge 组件作为 Pod 运行。有关这些组件及其交互方式的详细信息,请参阅 Pinniped 身份验证服务文档。

主管 中注册外部身份提供程序后,系统将更新 主管 上的 Pinniped 主管和 Pinniped Concierge Pod,以及 Tanzu Kubernetes Grid 集群上的 Pinniped Concierge Pod。在该 主管 实例上运行的所有 Tanzu Kubernetes Grid 集群都将自动配置该外部身份提供程序。

要向 主管 注册外部 ODIC 提供程序,请完成以下过程:

  1. 使用 vSphere Client 登录 vCenter Server
  2. 选择工作负载管理 > 主管 > 配置 > 身份提供程序
  3. 单击加号以开始注册过程。
  4. 配置提供程序。请参见OIDC 提供程序配置
    图 1. OIDC 提供程序配置
    OIDC 提供程序配置
  5. 配置 OAuth 2.0 客户端详细信息。请参见OAuth 2.0 客户端详细信息
    图 2. OAuth 2.0 客户端详细信息
    OAuth 2.0 客户端详细信息
  6. 配置其他设置。请参见其他设置
  7. 确认提供商设置。
    图 3. 确认提供商设置
    确认提供程序设置
  8. 单击完成以完成 OIDC 提供程序注册。

OIDC 提供程序配置

主管 注册外部 OIDC 提供程序时,请参阅以下提供程序配置详细信息。

表 1. OIDC 提供程序配置
字段 重要性 描述

提供程序名称

必需

外部身份提供程序的用户定义名称。

颁发者 URL

必需

颁发令牌的身份提供程序的 URL。OIDC 发现 URL 派生自颁发者 URL。

例如,Okta 颁发者 URL 可能类似于以下内容,且可以从管理控制台获取: https://trial-4359939-admin.okta.com

用户名声明

可选

要检查的上游身份提供程序 ID 令牌或用户信息端点的声明,用于获取给定用户的用户名。如果将此字段留空,上游颁发者 URL 将与“sub”声明连接起来,以生成用于 Kubernetes 使用的用户名。

此字段指定为了确定进行身份验证,应从上游 ID 令牌中查看哪些 Pinniped。如果未提供,用户身份的格式将设置为 https://IDP-ISSUER?sub=UUID

组声明

可选

要检查的上游身份提供程序 ID 令牌或用户信息端点的声明,用于获取给定用户的组。如果将此字段留空,则不使用上游身份提供程序中的任何组。

“组声明”字段将指示 Pinniped 从上游 ID 令牌中查找对用户身份进行身份验证所需的内容。

OAuth 2.0 客户端详细信息

主管 注册外部 OIDC 提供程序时,请参阅以下提供程序 OAuth 2.0 客户端详细信息。

表 2. OAuth 2.0 客户端详细信息
OAuth 2.0 客户端详细信息 重要性 描述

客户端 ID

必需

外部 IDP 中的客户端 ID

客户端密钥

必需

来自外部 IDP 的客户端密钥

其他设置

主管 注册外部 OIDC 提供程序时,请参考以下其他设置。

表 3. 其他设置
设置 重要性 描述

其他范围

可选

令牌中要请求的其他范围

证书颁发机构数据

可选

用于安全外部 IDP 连接的 TLS 证书颁发机构数据

其他授权参数

可选

OAuth2 授权请求期间的其他参数