Tanzu CLI を使用して スーパーバイザー 上の Tanzu Kubernetes Grid 2.0 クラスタに接続するには、OIDC プロバイダを スーパーバイザー に登録します。

前提条件

外部 ODIC プロバイダを スーパーバイザー に登録する前に、次の前提条件を満たしている必要があります。

スーパーバイザー への外部 IDP の登録

スーパーバイザー は、ポッドとして Pinniped Supervisor コンポーネントと Pinniped Concierge コンポーネントを実行します。Tanzu Kubernetes Grid クラスタは、ポッドとして Pinniped Concierge コンポーネントのみを実行します。これらのコンポーネントとその相互作用の詳細については、Pinniped 認証サービスのドキュメントを参照してください。

外部 ID プロバイダを スーパーバイザー に登録すると、スーパーバイザー 上の Pinniped Supervisor ポッドと Pinniped Concierge ポッド、Tanzu Kubernetes Grid クラスタ上の Pinniped Concierge ポッドが更新されます。その Tanzu Kubernetes Grid インスタンスで実行されているすべての スーパーバイザー クラスタは自動的に同じ外部 ID プロバイダで構成されます。

外部 ODIC プロバイダを スーパーバイザー に登録するには、次の手順を実行します。

  1. vSphere Client を使用して、vCenter Server にログインします。
  2. [ワークロード管理] > [スーパーバイザー] > [構成] > [ID プロバイダ] の順に選択します。
  3. プラス記号をクリックして登録プロセスを開始します。
  4. プロバイダを構成します。OIDC プロバイダの構成を参照してください。
    図 1. OIDC プロバイダの構成
    OIDC プロバイダの構成
  5. OAuth 2.0 クライアントの詳細を構成します。OAuth 2.0 クライアントの詳細を参照してください。
    図 2. OAuth 2.0 クライアントの詳細
    OAuth 2.0 クライアントの詳細
  6. 追加の設定を構成します。その他の設定を参照してください。
  7. プロバイダ設定を確認します。
    図 3. プロバイダ設定の確認
    プロバイダ設定の確認
  8. [終了] をクリックして、OIDC プロバイダの登録を完了します。

OIDC プロバイダの構成

外部 OIDC プロバイダを スーパーバイザー に登録する場合は、次のプロバイダ構成の詳細を参照してください。

表 1. OIDC プロバイダの構成
フィールド 重要度 説明

プロバイダ名

必須

外部 ID プロバイダのユーザー定義名。

発行者 URL

必須

トークンを発行する ID プロバイダの URL。OIDC 検出 URL は、発行者 URL から取得されます。

たとえば、Okta の発行者 URL は https://trial-4359939-admin.okta.com のように表示され、管理コンソールから取得できます。

ユーザー名の要求

オプション

指定されたユーザーのユーザー名を取得する際に検査を行う、アップストリーム ID プロバイダの ID トークンまたはユーザー情報エンドポイントからの要求。このフィールドを空のままにすると、アップストリーム発行者の URL が「サブ」要求と連結され、Kubernetes で使用されるユーザー名が生成されます。

このフィールドは、認証の判断を行うために、Pinniped がアップストリーム ID トークンの何を確認する必要があるかを指定します。指定しない場合、ユーザー ID は https://IDP-ISSUER?sub=UUID の形式になります。

グループの要求

オプション

指定されたユーザーのグループを取得する際に検査を行う、アップストリーム ID プロバイダの ID トークンまたはユーザー情報エンドポイントからの要求。このフィールドを空のままにすると、アップストリーム ID プロバイダのグループは使用されません。

[グループの要求] フィールドでは、ユーザー ID を認証するためにアップストリーム ID トークンから確認する内容が Pinniped に指示されます。

OAuth 2.0 クライアントの詳細

外部 OIDC プロバイダを スーパーバイザー に登録する場合は、次のプロバイダ OAuth 2.0 クライアントの詳細を参照してください。

表 2. OAuth 2.0 クライアントの詳細
OAuth 2.0 クライアントの詳細 重要度 説明

クライアント ID

必須

外部 IDP のクライアント ID

クライアント シークレット

必須

外部 IDP のクライアント シークレット

その他の設定

外部 OIDC プロバイダを スーパーバイザー に登録する場合は、次の追加設定を参照してください。

表 3. その他の設定
設定 重要度 説明

追加の範囲

オプション

トークンで要求される追加の範囲

認証局データ

オプション

セキュアな外部 IDP 接続のための TLS 証明局データ

追加の認証パラメータ

オプション

OAuth2 認証要求中の追加パラメータ