Okta など、任意の OIDC 準拠 ID プロバイダ (IDP) を使用して スーパーバイザー を構成できます。統合を完了するには、IDP に スーパーバイザー のコールバック URL を構成します。

サポートされている外部 OIDC プロバイダ

任意の OIDC 準拠 ID プロバイダを使用して スーパーバイザー を構成できます。次の表に、一般的なものと、構成手順へのリンクを示します。
外部 ID プロバイダ 構成

Okta

Okta を使用した OIDC 構成の例

Configure Okta as an OIDC provider for Pinniped も参照してください。

Workspace ONE

Configure Workspace ONE Access as an OIDC provider for Pinniped

Dex

Configure Dex as an OIDC provider for Pinniped

GitLab

Configure GitLab as an OIDC provider for Pinniped
Google OAuth

Using Google OAuth 2

スーパーバイザー のコールバック URL を使用した ID プロバイダの構成

スーパーバイザー は、外部 ID プロバイダに対する OAuth 2.0 クライアントとして機能します。 スーパーバイザー コールバック URL は、外部 ID プロバイダの構成に使用されるリダイレクト URL です。コールバック URL は、 https://SUPERVISOR-VIP/wcp/pinniped/callback という形式になります。
注: ID プロバイダの登録を実行する際、コールバック URL が構成中の OIDC プロバイダで「リダイレクト URL」と呼ばれることがあります。

スーパーバイザー の TKG で使用する外部 ID プロバイダを構成する場合、外部プロバイダに、vCenter Server で利用可能な [コールバック URL][ワークロード管理] > [スーパーバイザー] > [構成] > [ID プロバイダ] 画面で入力します。

Okta を使用した OIDC 構成の例

Okta では、ユーザーは OpenID Connect プロトコルを使用してアプリケーションにログインできます。 スーパーバイザーTanzu Kubernetes Grid の外部 ID プロバイダとして Okta を構成する場合、 スーパーバイザーTanzu Kubernetes Grid クラスタの Pinniped ポッドが vSphere 名前空間 およびワークロード クラスタの両方へのユーザー アクセスを制御します。
  1. Okta と vCenter Server 間の OIDC 接続を作成する必要がある ID プロバイダのコールバック URL をコピーします。

    vSphere Client を使用して、ID プロバイダ コールバック URL を [ワークロード管理] > [スーパーバイザー] > [ 構成] > [ID プロバイダ] で取得します。この URL を一時的な場所にコピーします。

    図 1. ID プロバイダ コールバック URL
    ID プロバイダ コールバック URL
  2. 組織の Okta アカウントにログインするか、https://www.okta.com/ で評価版アカウントを作成します。[管理] ボタンをクリックして Okta 管理コンソールを開きます。
    図 2. Okta 管理コンソール
    Okta 管理コンソール
  3. 管理コンソールの [はじめに] ページから、[アプリケーション] > [アプリケーション] に移動します。
    図 3. Okta の開始
    Okta の開始
  4. [アプリケーション統合の作成] オプションを選択します。
    図 4. Okta アプリケーション統合の作成
    Okta アプリケーション統合の作成
  5. 新しいアプリケーション統合を作成します。
    • ログイン方法を [OIDC - OpenID Connect] に設定します
    • アプリケーション タイプを [Web アプリケーション ] に設定します
    図 5. Okta サインオン方法とアプリケーション タイプ
    Okta サインオン方法とアプリケーション タイプ
  6. Okta の Web アプリケーション統合の詳細を構成します。
    • ユーザー定義文字列である [アプリケーション統合名] を指定します。
    • [付与タイプ] を指定します:[認可コード] を選択し、[リフレッシュ トークン] も選択します。
    • リダイレクト URI にログインします:スーパーバイザー からコピーした(手順 1 を参照)ID プロバイダ コールバック URL(https://10.27.62.33/wcp/pinnipend/callback など)を入力します。
    • リダイレクト URI からログアウトします:スーパーバイザー からコピーした(手順 1 を参照)ID プロバイダ コールバック URL(https://10.27.62.33/wcp/pinnipend/callback など)を入力します。
    図 6. Okta Web アプリケーション統合の詳細
    Okta Web アプリケーション統合の詳細
  7. ユーザー アクセス コントロールを構成します。

    [割り当て] > [制限付きアクセス ] セクションで、Tanzu Kubernetes Grid クラスタにアクセス可能な組織に存在する Okta ユーザーを任意で制御できます。例では、組織内で定義されているすべてのユーザーがアクセスできます。

    図 7. Okta アクセス コントロール
    Okta アクセス コントロール
  8. [保存] をクリックし、返される [クライアント ID] および [クライアント シークレット] をコピーします。

    Okta 構成を保存すると、管理コンソールで [クライアント ID][クライアント シークレット] が提供されます。両方のデータをコピーします。これらは スーパーバイザー を外部 ID プロバイダで構成するために必要です。

    図 8. OIDC クライアント ID およびシークレット
    OIDC クライアント ID およびシークレット
  9. OpenID Connect ID トークンを構成します。

    [サインオン] タブをクリックします。[OpenID Connect ID トークン] セクションで [編集] リンクをクリックし、[グループ要求タイプ] フィルタを入力し、設定を [保存] します。

    たとえば、要求名「グループ」をすべてのグループと一致させるには、[グループ] > [正規表現に一致] > [*] の順に選択します。

    図 9. OpenID Connect ID トークン
    OpenID Connect ID トークン
  10. [発行者 URL] をコピーします。

    スーパーバイザー を構成するには、[クライアント ID] および [クライアント シークレット] に加えて、[発行者 URL] が必要です。

    Okta 管理コンソールから [発行者 URL] をコピーします。
    図 10. Okta 発行者 URL
    Okta 発行者 URL