Um mithilfe der Tanzu-CLI eine Verbindung zu Tanzu Kubernetes Grid 2.0-Clustern auf Supervisor herzustellen, registrieren Sie Ihren OIDC-Anbieter bei Supervisor.

Voraussetzungen

Bevor Sie einen externen ODIC-Anbieter bei Supervisor registrieren, müssen Sie die folgenden Voraussetzungen erfüllen:

Registrieren eines externen IDP bei Supervisor

Supervisor führt die Pinniped-Supervisor- und Pinniped-Concierge-Komponenten als Pods aus. Tanzu Kubernetes Grid-Cluster führen nur die Pinniped-Concierge-Komponente als Pods aus. Weitere Informationen zu diesen Komponenten und deren Interaktion finden Sie in der Dokumentation zum Pinniped-Authentifizierungsdienst.

Sobald Sie einen externen Identitätsanbieter bei Supervisor registriert haben, aktualisiert das System die Pinniped-Supervisor- und Pinniped-Concierge-Pods auf Supervisor und die Pinniped-Concierge-Pods in Tanzu Kubernetes Grid-Clustern. Alle in dieser Supervisor-Instanz ausgeführten Tanzu Kubernetes Grid-Cluster werden automatisch mit demselben externen Identitätsanbieter konfiguriert.

Führen Sie das folgende Verfahren aus, um einen externen ODIC-Anbieter bei Supervisor zu registrieren:

  1. Melden Sie sich über vSphere Client bei vCenter Server an.
  2. Wählen Sie Arbeitslastverwaltung > Supervisoren > Konfigurieren > Identitätsanbieter aus.
  3. Klicken Sie auf das Pluszeichen, um den Registrierungsvorgang zu starten.
  4. Konfigurieren Sie den Identitätsanbieter. Weitere Informationen finden Sie unter Konfiguration des OIDC-Anbieters.
    Abbildung 1. Konfiguration des OIDC-Anbieters
    Konfiguration des OIDC-Anbieters
  5. Konfigurieren Sie OAuth 2.0-Client-Details. Weitere Informationen finden Sie unter OAuth 2.0-Client-Details.
    Abbildung 2. OAuth 2.0-Client-Details
    OAuth 2.0-Client-Details
  6. Konfigurieren Sie zusätzliche Einstellungen. Weitere Informationen finden Sie unter Weitere Einstellungen.
  7. Bestätigen Sie die Anbietereinstellungen.
    Abbildung 3. Anbietereinstellungen bestätigen
    Anbietereinstellungen bestätigen
  8. Klicken Sie auf Beenden, um die OIDC-Anbieterregistrierung abzuschließen.

Konfiguration des OIDC-Anbieters

Beachten Sie die folgenden Konfigurationsdetails des Anbieters beim Registrieren eines externen OIDC-Anbieters bei Supervisor.

Tabelle 1. Konfiguration des OIDC-Anbieters
Bereich Gewichtung Beschreibung

Anbietername

Erforderlich

Benutzerdefinierter Name für den externen Identitätsanbieter.

Aussteller-URL

Erforderlich

Die URL zum Identitätsanbieter, der Token ausstellt. Die OIDC-Erkennungs-URL wird von der Aussteller-URL abgeleitet.

Für Okta sieht die Aussteller-URL beispielsweise wie folgt aus und kann über die Admin-Konsole abgerufen werden: https://trial-4359939-admin.okta.com.

Benutzernamensanspruch

Optional

Der Anspruch vom ID-Token des Upstream-Identitätsanbieters oder vom Benutzerinformations-Endpoint, der überprüft werden soll, um den Benutzernamen für den angegebenen Benutzer abzurufen. Wenn Sie dieses Feld leer lassen, wird die Upstream-Aussteller-URL mit dem Anspruch „sub“ verkettet, um den Benutzernamen zu generieren, der mit Kubernetes verwendet werden soll.

Dieses Feld gibt an, was Pinniped vom Upstream-ID-Token aus suchen soll, um die Authentifizierung zu ermitteln. Wenn keine Angaben gemacht werden, wird die Benutzeridentität als https://IDP-ISSUER?sub=UUID formatiert.

Gruppenanspruch

Optional

Der Anspruch vom ID-Token des Upstream-Identitätsanbieters oder vom Benutzerinformations-Endpoint, der überprüft werden soll, um die Gruppen für den angegebenen Benutzer abzurufen. Wenn Sie dieses Feld leer lassen, werden keine Gruppen des Upstream-Identitätsanbieters verwendet.

Das Feld „Gruppenanspruch“ teilt Pinniped mit, was aus dem Upstream-ID-Token zur Authentifizierung der Benutzeridentität zu entnehmen ist.

OAuth 2.0-Client-Details

Beachten Sie die folgenden OAuth 2.0-Client-Details des Anbieters, wenn Sie einen externen OIDC-Anbieter bei Supervisor registrieren.

Tabelle 2. OAuth 2.0-Client-Details
OAuth 2.0-Client-Details Gewichtung Beschreibung

Client-ID

Erforderlich

Client-ID des externen IDP

Geheimer Clientschlüssel

Erforderlich

Geheimer Clientschlüssel vom externen IDP

Weitere Einstellungen

Beachten Sie die folgenden zusätzlichen Einstellungen, wenn Sie einen externen OIDC-Anbieter bei Supervisor registrieren.

Tabelle 3. Weitere Einstellungen
Einstellung Gewichtung Beschreibung

Zusätzliche Geltungsbereiche

Optional

Zusätzliche Geltungsbereiche, die in Token angefordert werden müssen

Daten zur Zertifizierungsstelle

Optional

Daten der TLS-Zertifizierungsstelle für eine sichere externe IDP-Verbindung

Zusätzliche Autorisierungsparameter

Optional

Zusätzliche Parameter während der OAuth2-Autorisierungsanforderung