要为 OIDC 用户配置 TKG 2.0 集群访问权限,请为 vSphere 命名空间 配置外部身份提供程序用户和组的角色权限。

为外部身份提供程序用户和组配置 vSphere 命名空间 权限

可以在 vSphere 命名空间 中置备 主管 上的 TKG 2.0 集群。向 主管 注册外部 OIDC 提供程序后,您可以使用外部 OIDC 提供程序用户和组的角色权限配置 vSphere 命名空间。此操作会在该 vSphere 命名空间 中的每个 TKG 2.0 集群上为外部 OIDC 提供程序创建角色绑定。如果 vSphere 命名空间 已存在,则会更新角色绑定。
注:主管 上注册外部 IDP 后,将通过 Pinniped 组件自动为在该 主管 上创建的所有 TKG 2.0 集群配置外部 IDP。
  1. 主管 中注册外部身份提供程序。

    请参见将外部 IDP 注册到 主管

  2. 为一个或多个 TKG 集群创建 vSphere 命名空间,或选择现有的 vSphere 命名空间

    请参见创建 vSphere 命名空间 以托管 TKG 服务 集群

  3. vSphere 命名空间 配置用户和角色。
    选择外部 OIDC 提供程序作为标识源,然后添加用户并分配角色。
    1. 选择 vSphere 命名空间
    2. 选择权限 > 添加权限
    3. 标识源:选择在 主管 中注册的外部身份提供程序。

      用于注册外部 IDP 的提供程序名称应显示在下拉菜单中。如果未显示,请检查配置。

    4. 用户/组搜索:键入用户或组名称。文本输入是一个自由格式的字符串。

      外部身份提供程序中的用户和组未与 vCenter Server 同步,因此无法选择。您必须键入字符串值,通常是电子邮件地址。该值没有前缀,例如,您可以键入“[email protected]”。

    5. 角色:通过选择角色(可查看可编辑)向用户或组分配角色。
      注: “所有者”角色不能用于外部身份提供程序。
  4. 完成 vSphere 命名空间 的配置。

    请参见为 TKG 服务 集群配置 vSphere 命名空间