Sie können Supervisor mit jedem OIDC-konformen Identitätsanbieter (IDP), z. B. Okta, konfigurieren. Um die Integration abzuschließen, konfigurieren Sie den IDP mit der Callback-URL für Supervisor.

Unterstützte externe OIDC-Anbieter

Sie können Supervisor mit jedem OIDC-konformen Identitätsanbieter konfigurieren. Die Tabelle enthält gängige Beispiele und Links zu Konfigurationsanweisungen.
Externer IDP Konfiguration

Okta

Beispiel für eine OIDC-Konfiguration mit Okta

Weitere Informationen finden Sie unter Konfigurieren von Okta als OIDC-Anbieter für Pinniped

Workspace ONE

Konfigurieren von Workspace ONE Access als OIDC-Anbieter für Pinniped

Dex

Konfigurieren von Dex als OIDC-Anbieter für Pinniped

GitLab

Konfigurieren von GitLab als OIDC-Anbieter für Pinniped

Google OAuth

Verwenden von Google OAuth 2

Konfigurieren des IDP mit der Callback-URL für Supervisor

Supervisor fungiert als OAuth 2.0-Client für den externen Identitätsanbieter. Die Supervisor-Callback-URL ist die Umleitungs-URL, die zum Konfigurieren des externen Identitätsanbieters verwendet wird. Die Callback-URL hat das Format https://SUPERVISOR-VIP/wcp/pinniped/callback.
Hinweis: Bei der IDP-Registrierung wird die Callback-URL in dem OIDC-Anbieter, den Sie konfigurieren, möglicherweise als „Weiterleitungs-URL“ bezeichnet.

Wenn Sie den externen Identitätsanbieter für die Verwendung mit TKG auf Supervisor konfigurieren, übermitteln Sie dem externen Identitätsanbieter die Callback-URL, die in vCenter Server im Bildschirm Arbeitslastverwaltung > Supervisoren > Konfigurieren > Identitätsanbieter verfügbar ist.

Beispiel für eine OIDC-Konfiguration mit Okta

Mit Okta können sich Benutzer mit dem OpenID Connect-Protokoll bei Anwendungen anmelden. Wenn Sie Okta als externen Identitätsanbieter für Tanzu Kubernetes Grid auf Supervisor konfigurieren, steuern die Pinniped-Pods auf Supervisor und auf Tanzu Kubernetes Grid-Clustern den Benutzerzugriff für vSphere-Namespaces und für Arbeitslastcluster.
  1. Kopieren Sie die Callback-URL des Identitätsanbieters, die Sie zum Erstellen einer OIDC-Verbindung zwischen Okta und vCenter Server benötigen.

    Rufen Sie die Callback-URL des Identitätsanbieters im vSphere Client unter Arbeitslastverwaltung > Supervisoren > Konfigurieren > Identitätsanbieter ab. Kopieren Sie diese URL an einen temporären Speicherort.

    Abbildung 1. IDP-Callback-URL
    IDP-Callback-URL
  2. Melden Sie sich beim Okta-Konto für Ihre Organisation an oder erstellen Sie ein Testkonto unter https://www.okta.com/. Klicken Sie auf die Schaltfläche Admin, um die Okta-Verwaltungskonsole zu öffnen.
    Abbildung 2. Okta-Verwaltungskonsole
    Okta-Verwaltungskonsole
  3. Navigieren Sie in der Verwaltungskonsole auf der Seite „Erste Schritte“ zu Anwendungen > Anwendungen.
    Abbildung 3. Okta – Erste Schritte
    Okta – Erste Schritte
  4. Wählen Sie die Option App-Integration erstellen aus.
    Abbildung 4. Okta – App-Integration erstellen
    Okta – App-Integration erstellen
  5. Erstellen Sie die neue App-Integration.
    • Legen Sie die Anmeldemethode auf OIDC - OpenID Connect fest.
    • Legen Sie den Anwendungstyp auf Webanwendung fest.
    Abbildung 5. Okta-Anmeldemethode und Anwendungstyp
    Okta-Anmeldemethode und Anwendungstyp
  6. Konfigurieren Sie die Details der Okta-Webanwendungsintegration.
    • Geben Sie einen Namen für die App-Integration an, der eine benutzerdefinierte Zeichenfolge ist.
    • Geben Sie den Gewährungstyp an: Wählen Sie Autorisierungscode und außerdem Token aktualisieren aus.
    • Weiterleitungs-URIs für die Anmeldung: Geben Sie die Callback-URL des Identitätsanbieters ein, die Sie von Supervisor kopiert haben (siehe Schritt 1), z. B. https://10.27.62.33/wcp/pinnipend/callback.
    • Weiterleitungs-URIs für die Abmeldung: Geben Sie die Callback-URL des Identitätsanbieters ein, die Sie von Supervisor kopiert haben (siehe Schritt 1), z. B. https://10.27.62.33/wcp/pinnipend/callback.
    Abbildung 6. Details der Okta-Webanwendungsintegration
    Details der Okta-Webanwendungsintegration
  7. Konfigurieren Sie die Benutzerzugriffssteuerung.

    Im Abschnitt Zuweisungen > Kontrollierter Zugriff können Sie optional steuern, welche der in Ihrer Organisation vorhandenen Okta-Benutzer auf Tanzu Kubernetes Grid-Cluster zugreifen können. Im Beispiel gewähren Sie allen in der Organisation definierten Benutzern Zugriff.

    Abbildung 7. Okta-Zugriffssteuerung
    Okta-Zugriffssteuerung
  8. Klicken Sie auf Speichern und kopieren Sie die Client-ID und den geheimen Clientschlüssel, die zurückgegeben werden.

    Wenn Sie die OKTA-Konfiguration speichern, stellt Ihnen die Verwaltungskonsole eine Client-ID und einen geheimen Clientschlüssel zur Verfügung. Kopieren Sie beide Elemente, da Sie diese benötigen, um Supervisor mit einem externen Identitätsanbieter zu konfigurieren.

    Abbildung 8. OIDC-Client-ID und geheimer Schlüssel
    OIDC-Client-ID und geheimer Schlüssel
  9. Konfigurieren Sie das OpenID Connect-ID-Token.

    Klicken Sie auf die Registerkarte Anmelden. Klicken Sie im Abschnitt OpenID Connect ID-Token auf den Bearbeitungslink, geben Sie als Gruppenanspruchstyp „Filter“ ein und speichern Sie die Einstellungen.

    Wenn der Anspruchname „Gruppen“ allen Gruppen entsprechen soll, wählen Sie Gruppen > Entspricht regex > * aus.

    Abbildung 9. OpenID Connect-ID-Token
    OpenID Connect ID-Token
  10. Kopieren Sie die Aussteller-URL.

    Um Supervisor zu konfigurieren, benötigen Sie die Aussteller-URL sowie die Client-ID und den geheimen Clientschlüssel.

    Kopieren Sie die Aussteller-URL aus der Okta-Verwaltungskonsole.
    Abbildung 10. Okta-Aussteller-URL
    Okta-Aussteller-URL