Vous pouvez configurer le Superviseur avec n'importe quel fournisseur d'identité compatible OIDC, comme Okta. Pour terminer l'intégration, configurez le fournisseur d'identité avec l'URL de rappel pour le Superviseur.

Fournisseurs OIDC externes pris en charge

Vous pouvez configurer Superviseur avec n'importe quel fournisseur d'identité compatible OIDC. Le tableau répertorie les plus courants et inclut des liens pour obtenir des instructions de configuration.
IDP externe Configuration

Okta

Exemple de configuration OIDC à l'aide d'Okta

Reportez-vous également à la section Configurer Okta en tant que fournisseur OIDC pour Pinniped

Workspace ONE

Configurer Workspace ONE Access en tant que fournisseur OIDC pour Pinniped

Dex

Configurez Dex en tant que fournisseur OIDC pour Pinniped

GitLab

Configurer GitLab en tant que fournisseur OIDC pour Pinniped
Google OAuth

Utilisation de Google OAuth 2

Configuration du fournisseur d'identité avec l'URL de rappel pour le Superviseur

Le Superviseur est utilisé comme un client OAuth 2.0 pour le fournisseur d'identité externe. L'URL de rappel du Superviseur est l'URL de redirection utilisée pour configurer le fournisseur d'identité externe. L'URL de rappel prend la forme https://SUPERVISOR-VIP/wcp/pinniped/callback.
Note : Lors de l'enregistrement du fournisseur d'identité, l'URL de rappel peut être appelée « URL de redirection » dans le fournisseur OIDC que vous configurez.

Lors de la configuration du fournisseur d'identité externe pour l'utiliser avec TKG sur le Superviseur, spécifiez le fournisseur d'identité externe avec l'URL de rappel qui est disponible dans l'instance de vCenter Server dans l'écran Gestion de la charge de travail > Superviseurs > Configurer > Fournisseurs d'identité.

Exemple de configuration OIDC à l'aide d'Okta

Okta permet aux utilisateurs de se connecter à des applications à l'aide du protocole OpenID Connect. Lorsque vous configurez Okta en tant que fournisseur d'identité externe pour Tanzu Kubernetes Grid sur le Superviseur, les espaces Pinniped sur le Superviseur et sur les clusters Tanzu Kubernetes Grid contrôlent l'accès des utilisateurs aux Espaces de noms vSphere et aux clusters de charge de travail.
  1. Copiez l'URL de rappel du fournisseur d'identité pour créer une connexion OIDC entre Okta et l'instance de vCenter Server.

    Dans vSphere Client, obtenez l'URL de rappel du fournisseur d'identité dans Gestion de la charge de travail > Superviseurs > Configurer > Fournisseurs d'identité. Copiez cette URL dans un emplacement temporaire.

    Figure 1. URL de rappel du fournisseur d'identité
    URL de rappel du fournisseur d'identité
  2. Connectez-vous au compte Okta de votre organisation ou créez un compte d'évaluation sur https://www.okta.com/. Cliquez sur le bouton Admin pour ouvrir la console d'administration Okta.
    Figure 2. Console d'administration Okta
    Console d'administration Okta
  3. Sur la page Démarrage de la console d'administration, accédez à Applications > Applications.
    Figure 3. Démarrage avec Okta
    Démarrage avec Okta
  4. Sélectionnez l'option Créer l'intégration d'applications.
    Figure 4. Intégration d'applications créées par Okta
    Intégration d'applications créées par Okta
  5. Créez l'intégration de l'application.
    • Définissez la méthode de connexion sur OIDC - OpenID Connect.
    • Définissez le type d'application sur Application Web
    Figure 5. Méthode d'authentification Okta et type d'application
    Méthode d'authentification Okta et type d'application
  6. Configurez les détails de l'intégration de l'application Web Okta.
    • Fournissez un Nom d'intégration de l'application qui est une chaîne définie par l'utilisateur.
    • Spécifiez le Type d'attribution : sélectionnez Code d'autorisation, ainsi que Jeton d'actualisation.
    • URI de redirection de connexion : entrez l'URL de rappel du fournisseur d'identité que vous avez copiée dans le Superviseur (voir l'étape 1), telle que https://10.27.62.33/wcp/pinnipend/callback.
    • URI de redirection de déconnexion : entrez l'URL de rappel du fournisseur d'identité que vous avez copiée dans le Superviseur (voir l'étape 1), telle que https://10.27.62.33/wcp/pinnipend/callback.
    Figure 6. Détails de l'intégration des applications Web Okta
    Détails de l'intégration des applications Web Okta
  7. Configurer le contrôle d'accès utilisateur.

    Dans la section Attributions > Accès contrôlé, vous pouvez éventuellement contrôler quels utilisateurs Okta dans votre organisation peuvent accéder aux clusters Tanzu Kubernetes Grid. Dans l'exemple, l'autorisation d'accès est accordée à toutes les personnes de l'organisation.

    Figure 7. Contrôle d'accès Okta
    Contrôle d'accès Okta
  8. Cliquez sur Enregistrer et copiez l'ID de client et la Clé secrète du client renvoyés.

    Lorsque vous enregistrez la configuration Okta, la console d'administration vous fournit un ID de client et une Clé secrète client. Copiez les deux éléments de données, car vous en avez besoin pour configurer le Superviseur avec un fournisseur d'identité externe.

    Figure 8. ID de client OIDC et clé secrète
    ID de client OIDC et clé secrète
  9. Configurez le jeton d'ID OpenID Connect.

    Cliquez sur l'onglet Connexion. Dans la section Jeton d'ID OpenID Connect, cliquez sur le lien de modification, renseignez le filtre Type de réclamation des groupes, puis cliquez sur Enregistrer pour enregistrer les paramètres.

    Par exemple, si vous souhaitez que le nom de réclamation « groupes » corresponde à tous les groupes, sélectionnez groupes > Correspond à la regex > *.

    Figure 9. Jeton d'ID OpenID Connect
    Jeton d'ID OpenID Connect
  10. Copiez l'URL de l'émetteur.

    Pour configurer le Superviseur, vous avez besoin de l'URL de l'émetteur, en plus de l'ID de client et de la Clé secrète du client.

    Copiez l' URL de l'émetteur à partir de la console d'administration d'Okta.
    Figure 10. URL de l'émetteur Okta
    URL de l'émetteur Okta