Para conectarse a clústeres de Tanzu Kubernetes Grid 2.0 en Supervisor mediante la CLI de Tanzu, registre el proveedor de OIDC con Supervisor.
Requisitos previos
- Habilite Administración de cargas de trabajo e implemente una instancia de Supervisor. Consulte Ejecutar clústeres de TKG 2.0 en Supervisor.
- Configure un proveedor de identidad externo OpenID Connect con la URL de devolución de llamada de Supervisor. Consulte Configurar un IDP externo para usarlo con clústeres de servicio TKG.
- Obtenga el identificador de cliente, el secreto de cliente y la URL del emisor del IDP externo. Consulte Configurar un IDP externo para usarlo con clústeres de servicio TKG.
Registrar un IDP externo con Supervisor
Supervisor ejecuta como pods los componentes Supervisor de Pinniped y Conserje de Pinniped. Los clústeres de Tanzu Kubernetes Grid solo ejecutan como pods el componente Conserje de Pinniped. Para obtener más información sobre estos componentes y cómo interactúan, consulte la documentación del servició de autenticación Pinniped.
Una vez que se registra un proveedor de identidad externo con Supervisor, el sistema actualiza los pods Supervisor y Conserje de Pinniped en Supervisor y los pods Conserje de Pinniped en clústeres de Tanzu Kubernetes Grid. Todos los clústeres de Tanzu Kubernetes Grid que se ejecutan en esa instancia de Supervisor se configuran automáticamente con ese mismo proveedor de identidad externo.
Para registrar un proveedor de ODIC externo con Supervisor, realice el siguiente procedimiento:
- Inicie sesión en vCenter Server mediante vSphere Client.
- Seleccione .
- Haga clic en el signo más para comenzar el proceso de registro.
- Configure el proveedor. Consulte Configuración del proveedor de OIDC.
Figura 1. Configuración del proveedor de OIDC 
- Configure los detalles del cliente de OAuth 2.0. Consulte Detalles del cliente de OAuth 2.0.
Figura 2. Detalles del cliente de OAuth 2.0 
- Configure los ajustes adicionales. Consulte Configuración adicional.
- Confirme la configuración del proveedor.
Figura 3. Confirmar configuración del proveedor 
- Haga clic en Finalizar para completar el registro del proveedor de OIDC.
Configuración del proveedor de OIDC
Consulte los siguientes detalles de configuración del proveedor al registrar un proveedor de OIDC externo con Supervisor.
| Campo | Importancia | Descripción |
|---|---|---|
| Nombre del proveedor |
Obligatorio |
El nombre definido por el usuario para el proveedor de identidad externo. |
| URL del emisor |
Obligatorio |
La URL del proveedor de identidad que emite tokens. La URL de detección de OIDC se deriva de la URL del emisor. Por ejemplo, para Okta, la URL del emisor puede ser similar a la siguiente y puede obtenerse en la consola de administración: https://trial-4359939-admin.okta.com. |
| Notificación de nombre de usuario |
Opcional |
La notificación del token de identificador del proveedor de identidad ascendente o del endpoint de información de usuario que se va a inspeccionar para obtener el nombre de usuario para el usuario especificado. Si deja este campo vacío, la URL del emisor ascendente se concatena con la notificación "sub" para generar el nombre de usuario que se utilizará con Kubernetes. Este campo especifica lo que Pinniped debe examinar en el token de identificador ascendente para determinar la autenticación. Si no se proporciona, la identidad del usuario llevará el formato https://IDP-ISSUER?sub=UUID. |
| Notificación de grupos |
Opcional |
La notificación del token de identificador del proveedor de identidad ascendente o del endpoint de información de usuario que se va a inspeccionar para obtener los grupos para el usuario especificado. Si deja este campo vacío, no se utilizarán grupos del proveedor de identidad ascendente. El campo de notificaciones de grupos indica a Pinniped qué se debe buscar en el token de ID ascendente para autenticar la identidad del usuario. |
Detalles del cliente de OAuth 2.0
Consulte los siguientes detalles del cliente OAuth 2.0 de proveedor al registrar un proveedor de OIDC externo con Supervisor.
| Detalles del cliente de OAuth 2.0 | Importancia | Descripción |
|---|---|---|
| Identificador de cliente |
Obligatorio |
Identificador de cliente del IDP externo |
| Secreto del cliente |
Obligatorio |
Secreto de cliente del IDP externo |
Configuración adicional
Consulte la siguiente configuración adicional al registrar un proveedor de OIDC externo con Supervisor.
| Configuración | Importancia | Descripción |
|---|---|---|
| Ámbitos adicionales |
Opcional |
Los ámbitos adicionales que se solicitarán en los tokens. |
| Datos de la entidad de certificación |
Opcional |
Datos de la entidad de certificación TLS para una conexión IDP externa segura |
| Parámetros de autorización adicionales |
Opcional |
Parámetros adicionales durante la solicitud de autorización de OAuth2 |
