Tanzu CLI を使用して スーパーバイザー 上の Tanzu Kubernetes Grid 2.0 クラスタに接続するには、OIDC プロバイダを スーパーバイザー に登録します。
前提条件
- ワークロード管理を有効にして、スーパーバイザー インスタンスをデプロイします。「スーパーバイザーでの TKG 2.0 クラスタの実行」を参照してください。
- 外部 OpenID Connect ID プロバイダを スーパーバイザー コールバック URL で構成します。TKG サービス クラスタで使用する外部 ID プロバイダの構成を参照してください。
- クライアント ID、クライアント シークレット、および発行者 URL を外部 IDP から取得します。TKG サービス クラスタで使用する外部 ID プロバイダの構成を参照してください。
スーパーバイザー への外部 IDP の登録
スーパーバイザー は、ポッドとして Pinniped Supervisor コンポーネントと Pinniped Concierge コンポーネントを実行します。Tanzu Kubernetes Grid クラスタは、ポッドとして Pinniped Concierge コンポーネントのみを実行します。これらのコンポーネントとその相互作用の詳細については、Pinniped 認証サービスのドキュメントを参照してください。
外部 ID プロバイダを スーパーバイザー に登録すると、スーパーバイザー 上の Pinniped Supervisor ポッドと Pinniped Concierge ポッド、Tanzu Kubernetes Grid クラスタ上の Pinniped Concierge ポッドが更新されます。その Tanzu Kubernetes Grid インスタンスで実行されているすべての スーパーバイザー クラスタは自動的に同じ外部 ID プロバイダで構成されます。
外部 ODIC プロバイダを スーパーバイザー に登録するには、次の手順を実行します。
- vSphere Client を使用して、vCenter Server にログインします。
- の順に選択します。
- プラス記号をクリックして登録プロセスを開始します。
- プロバイダを構成します。OIDC プロバイダの構成を参照してください。
図 1. OIDC プロバイダの構成 
- OAuth 2.0 クライアントの詳細を構成します。OAuth 2.0 クライアントの詳細を参照してください。
図 2. OAuth 2.0 クライアントの詳細 
- 追加の設定を構成します。その他の設定を参照してください。
- プロバイダ設定を確認します。
図 3. プロバイダ設定の確認 
- [終了] をクリックして、OIDC プロバイダの登録を完了します。
OIDC プロバイダの構成
外部 OIDC プロバイダを スーパーバイザー に登録する場合は、次のプロバイダ構成の詳細を参照してください。
| フィールド | 重要度 | 説明 |
|---|---|---|
| プロバイダ名 |
必須 |
外部 ID プロバイダのユーザー定義名。 |
| 発行者 URL |
必須 |
トークンを発行する ID プロバイダの URL。OIDC 検出 URL は、発行者 URL から取得されます。 たとえば、Okta の発行者 URL は https://trial-4359939-admin.okta.com のように表示され、管理コンソールから取得できます。 |
| ユーザー名の要求 |
オプション |
指定されたユーザーのユーザー名を取得する際に検査を行う、アップストリーム ID プロバイダの ID トークンまたはユーザー情報エンドポイントからの要求。このフィールドを空のままにすると、アップストリーム発行者の URL が「サブ」要求と連結され、Kubernetes で使用されるユーザー名が生成されます。 このフィールドは、認証の判断を行うために、Pinniped がアップストリーム ID トークンの何を確認する必要があるかを指定します。指定しない場合、ユーザー ID は https://IDP-ISSUER?sub=UUID の形式になります。 |
| グループの要求 |
オプション |
指定されたユーザーのグループを取得する際に検査を行う、アップストリーム ID プロバイダの ID トークンまたはユーザー情報エンドポイントからの要求。このフィールドを空のままにすると、アップストリーム ID プロバイダのグループは使用されません。 [グループの要求] フィールドでは、ユーザー ID を認証するためにアップストリーム ID トークンから確認する内容が Pinniped に指示されます。 |
OAuth 2.0 クライアントの詳細
外部 OIDC プロバイダを スーパーバイザー に登録する場合は、次のプロバイダ OAuth 2.0 クライアントの詳細を参照してください。
| OAuth 2.0 クライアントの詳細 | 重要度 | 説明 |
|---|---|---|
| クライアント ID |
必須 |
外部 IDP のクライアント ID |
| クライアント シークレット |
必須 |
外部 IDP のクライアント シークレット |
その他の設定
外部 OIDC プロバイダを スーパーバイザー に登録する場合は、次の追加設定を参照してください。
| 設定 | 重要度 | 説明 |
|---|---|---|
| 追加の範囲 |
オプション |
トークンで要求される追加の範囲 |
| 認証局データ |
オプション |
セキュアな外部 IDP 接続のための TLS 証明局データ |
| 追加の認証パラメータ |
オプション |
OAuth2 認証要求中の追加パラメータ |
