Pour vous connecter à des clusters Tanzu Kubernetes Grid 2.0 sur le Superviseur à l'aide de l'interface de ligne de commande Tanzu, enregistrez votre fournisseur OIDC dans le Superviseur.

Conditions requises

Avant d'enregistrer un fournisseur OIDC externe dans le Superviseur, remplissez les conditions préalables suivantes :

Enregistrer un fournisseur d'identité externe dans le Superviseur

Le Superviseur exécute en tant qu'espaces les composants Pinniped Supervisor et Pinniped Concierge. Les clusters Tanzu Kubernetes Grid exécutent uniquement le composant Pinniped Concierge. Pour plus d'informations sur ces composants et la manière dont ils interagissent, reportez-vous à la documentation du service d'authentification Pinniped.

Une fois que vous avez enregistré un fournisseur d'identité externe dans le Superviseur, le système met à jour les espaces Pinniped Supervisor et Pinniped Concierge sur le Superviseur et les espaces Panniped Concierge sur les clusters Tanzu Kubernetes Grid. Tous les clusters Tanzu Kubernetes Grid s'exécutant sur cette instance de Superviseur sont automatiquement configurés avec ce même fournisseur d'identité externe.

Pour enregistrer un fournisseur OIDC externe dans le Superviseur, procédez comme suit :

  1. Connectez-vous à vCenter Server en utilisant vSphere Client.
  2. Sélectionnez Gestion de la charge de travail > Superviseurs > Configurer > Fournisseurs d'identité.
  3. Cliquez sur le signe plus pour commencer le processus d'enregistrement.
  4. Configurez le fournisseur. Reportez-vous à la section Configuration du fournisseur OIDC.
    Figure 1. Configuration du fournisseur OIDC
    Configuration du fournisseur OIDC
  5. Configurez les détails du client OAuth 2.0. Reportez-vous à la section Détails du client OAuth 2.0.
    Figure 2. Détails du client OAuth 2.0
    Détails du client OAuth 2.0
  6. Configurez des paramètres supplémentaires. Reportez-vous à la section Paramètres supplémentaires.
  7. Confirmez les paramètres du fournisseur.
    Figure 3. Confirmer les paramètres du fournisseur
    Confirmer les paramètres du fournisseur
  8. Cliquez sur Terminer pour terminer l'enregistrement du fournisseur OIDC.

Configuration du fournisseur OIDC

Reportez-vous aux détails de configuration du fournisseur suivants lors de l'enregistrement d'un fournisseur OIDC externe dans le Superviseur.

Tableau 1. Configuration du fournisseur OIDC
Champ Importance Description

Nom du fournisseur

Requis

Nom défini par l'utilisateur pour le fournisseur d'identité externe.

URL de l'émetteur

Requis

URL vers le fournisseur d'identité émettant les jetons. L'URL de détection OIDC est dérivée de l'URL de l'émetteur.

Par exemple, l'URL de l'émetteur Okta peut ressembler à ce qui suit et peut être obtenue à partir de la console d'administration : https://trial-4359939-admin.okta.com.

Réclamation de nom

Facultatif

Réclamation du jeton d'ID de fournisseur d'identité en amont ou du point de terminaison d'informations utilisateur à inspecter pour obtenir le nom d'utilisateur de l'utilisateur donné. Si vous laissez ce champ vide, l'URL de l'émetteur en amont est concaténée à la réclamation « sub » pour générer le nom d'utilisateur à utiliser avec Kubernetes.

Ce champ spécifie ce que Pinniped doit examiner à partir du jeton d'ID en amont pour déterminer l'authentification. Si elle n'est pas fournie, l'identité de l'utilisateur sera formatée comme https://IDP-ISSUER?sub=UUID.

Réclamation de groupes

Facultatif

Réclamation du jeton d'ID de fournisseur d'identité en amont ou du point de terminaison d'informations utilisateur à inspecter pour obtenir les groupes de l'utilisateur donné. Si vous laissez ce champ vide, aucun groupe n'est utilisé à partir du fournisseur d'identité en amont.

Le champ Réclamations de groupe indique à Pinniped ce qu'il faut examiner à partir du jeton d'ID en amont pour authentifier l'identité de l'utilisateur.

Détails du client OAuth 2.0

Reportez-vous aux détails du client OAuth 2.0 du fournisseur suivant lors de l'enregistrement d'un fournisseur OIDC externe dans le Superviseur.

Tableau 2. Détails du client OAuth 2.0
Détails du client Oauth 2.0 Importance Description

ID de client

Requis

ID de client du fournisseur d'identité externe

Clé secrète client

Requis

Clé secrète du client du fournisseur d'identité externe

Paramètres supplémentaires

Reportez-vous aux paramètres supplémentaires suivants lors de l'enregistrement d'un fournisseur OIDC externe dans le Superviseur.

Tableau 3. Paramètres supplémentaires
Paramètre Importance Description

Étendues supplémentaires

Facultatif

Étendues supplémentaires à demander dans les jetons

Données de l'autorité de certification

Facultatif

Données de l'autorité de certification TLS pour une connexion à un fournisseur d'identité externe sécurisée

Paramètres d'autorisation supplémentaires

Facultatif

Paramètres supplémentaires lors de la demande d'autorisation OAuth2