可以在 vSphere 命名空间 中置备 主管 上的 TKG 2.0 集群。向 主管 注册外部 OIDC 提供程序后，您可以使用外部 OIDC 提供程序用户和组的角色权限配置 vSphere 命名空间。此操作会在该 vSphere 命名空间 中的每个 TKG 2.0 集群上为外部 OIDC 提供程序创建角色绑定。如果 vSphere 命名空间 已存在，则会更新角色绑定。

1. 在 主管 中注册外部身份提供程序。

   请参见将外部 IDP 注册到 主管。

2. 为一个或多个 TKG 集群创建 vSphere 命名空间，或选择现有的 vSphere 命名空间。

   请参见创建 vSphere 命名空间 以托管 TKG 服务 集群。

3. 为 vSphere 命名空间 配置用户和角色。
   选择外部 OIDC 提供程序作为标识源，然后添加用户并分配角色。

   1. 选择 vSphere 命名空间。
   2. 选择权限 > 添加权限。
   3. 标识源：选择在 主管 中注册的外部身份提供程序。

      用于注册外部 IDP 的提供程序名称应显示在下拉菜单中。如果未显示，请检查配置。

   4. 用户/组搜索：键入用户或组名称。文本输入是一个自由格式的字符串。

      外部身份提供程序中的用户和组未与 vCenter Server 同步，因此无法选择。您必须键入字符串值，通常是电子邮件地址。该值没有前缀，例如，您可以键入“[email protected]”。

   5. 角色：通过选择角色（可查看或可编辑）向用户或组分配角色。
      注： “所有者”角色不能用于外部身份提供程序。
4. 完成 vSphere 命名空间 的配置。

   请参见为 TKG 服务 集群配置 vSphere 命名空间。