Um den TKG 2.0-Clusterzugriff für OIDC-Benutzer zu konfigurieren, konfigurieren Sie den vSphere-Namespace mit Rollenberechtigungen für Benutzer und Gruppen externer Identitätsanbieter.

Konfigurieren von vSphere-Namespace-Berechtigungen für Benutzer und Gruppen externer Identitätsanbieter

Ein TKG 2.0-Cluster auf Supervisor wird in einem vSphere-Namespace bereitgestellt. Nachdem Sie einen externen OIDC-Anbieter bei Supervisor registriert haben, konfigurieren Sie den vSphere-Namespace mit Rollenberechtigungen für Benutzer und Gruppen externer OIDC-Anbieter. Mit diesem Vorgang werden die Rollenbindungen für den externen OIDC-Anbieter in jedem TKG 2.0-Cluster in diesem vSphere-Namespace erstellt. Wenn der vSphere-Namespace bereits vorhanden ist, werden die Rollenbindungen aktualisiert.
Hinweis: Wenn Sie einen externen IDP auf einem Supervisor registriert haben, werden alle TKG 2.0-Cluster, die auf diesem Supervisor erstellt wurden, automatisch mit dem externen IDP über die Pinniped-Komponenten konfiguriert.
  1. Registrieren Sie einen externen Identitätsanbieter bei Supervisor.

    Weitere Informationen finden Sie unter Registrieren eines externen IDP bei Supervisor.

  2. Erstellen Sie einen vSphere-Namespace für einen oder mehrere TKG-Cluster oder wählen Sie einen vorhandenen vSphere-Namespace aus.

    Weitere Informationen finden Sie unter Erstellen eines vSphere-Namespace für das Hosting von TKG-Dienst-Clustern.

  3. Konfigurieren Sie Benutzer und Rollen für den vSphere-Namespace.
    Wählen Sie den externen OIDC-Anbieter als Identitätsquelle aus, fügen Sie Benutzer hinzu und weisen Sie Rollen zu.
    1. Aktivieren Sie den vSphere-Namespace.
    2. Wählen Sie Berechtigungen > Berechtigungen hinzufügen aus.
    3. Identitätsquelle: Wählen Sie den bei Supervisor registrierten externen Identitätsanbieter aus.

      Der Anbietername, den Sie zur Registrierung des externen IDP verwendet haben, sollte im Dropdown-Menü angezeigt werden. Ist dies nicht der Fall, überprüfen Sie die Konfiguration.

    4. Benutzer/Gruppensuche: Geben Sie den Benutzer- oder Gruppennamen ein. Die Texteingabe erfolgt als Freiform-Zeichenfolge.

      Benutzer und Gruppen von einem externen Identitätsanbieter werden nicht mit vCenter Server synchronisiert und können nicht ausgewählt werden. Sie müssen den Zeichenfolgenwert eingeben, in der Regel eine E-Mail-Adresse. Es ist kein Präfix vorhanden, daher können Sie z. B. „[email protected]“ eingeben.

    5. Rolle: Weisen Sie den Benutzer oder die Gruppe einer Rolle zu, indem Sie die Rolle auswählen, entweder Lesezugriff oder Schreibzugriff.
      Hinweis: Die Rolle „Besitzer“ ist nicht für die Verwendung mit einem externen Identitätsanbieter verfügbar.
  4. Vervollständigen Sie die Konfiguration des vSphere-Namespace.

    Weitere Informationen finden Sie unter Konfigurieren eines vSphere-Namespace für TKG-Dienst-Cluster.