Tanzu CLI를 사용하여 감독자Tanzu Kubernetes Grid 2.0 클러스터에 연결하려면 OIDC 제공자를 감독자에 등록합니다.

사전 요구 사항

외부 ODIC 제공자를 감독자에 등록하기 전에 다음 사전 요구 사항을 완료하십시오.

외부 IDP를 감독자에 등록

감독자는 Pinniped 감독자 및 Pinniped Concierge 구성 요소를 포드로 실행합니다. Tanzu Kubernetes Grid 클러스터는 Pinniped Concierge 구성 요소만 포드로 실행합니다. 이러한 구성 요소와 구성 요소가 상호 작용하는 방식에 대한 자세한 내용은 Pinniped 인증 서비스 설명서를 참조하십시오.

외부 ID 제공자를 감독자에 등록하면 감독자의 Pinniped 감독자 및 Pinniped Concierge 포드와 Tanzu Kubernetes Grid 클러스터의 Pinniped Concierge 포드가 시스템에서 업데이트됩니다. 해당 감독자 인스턴스에서 실행되는 모든 Tanzu Kubernetes Grid 클러스터는 동일한 외부 ID 제공자를 사용하여 자동으로 구성됩니다.

외부 ODIC 제공자를 감독자에 등록하려면 다음 절차를 완료하십시오.

  1. vSphere Client를 사용하여 vCenter Server에 로그인합니다.
  2. 워크로드 관리 > 감독자 > 구성 > ID 제공자를 선택합니다.
  3. 더하기 기호를 클릭하여 등록 프로세스를 시작합니다.
  4. 제공자를 구성합니다. OIDC 제공자 구성의 내용을 참조하십시오.
    그림 1. OIDC 제공자 구성
    OIDC 제공자 구성
  5. OAuth 2.0 클라이언트 세부 정보를 구성합니다. OAuth 2.0 클라이언트 세부 정보의 내용을 참조하십시오.
    그림 2. OAuth 2.0 클라이언트 세부 정보
    OAuth 2.0 클라이언트 세부 정보
  6. 추가 설정을 구성합니다. 추가 설정의 내용을 참조하십시오.
  7. 제공자 설정을 확인합니다.
    그림 3. 제공자 설정 확인
    제공자 설정 확인
  8. 마침을 클릭하여 OIDC 제공자 등록을 완료합니다.

OIDC 제공자 구성

외부 OIDC 제공자를 감독자에 등록할 때 다음 제공자 구성 세부 정보를 참조하십시오.

표 1. OIDC 제공자 구성
필드 중요도 설명

제공자 이름

필수

외부 ID 제공자에 대한 사용자 정의 이름입니다.

발급자 URL

필수

토큰을 발급하는 ID 제공자의 URL입니다. OIDC 검색 URL은 발급자 URL에서 파생됩니다.

예를 들어 Okta 발급자 URL은 다음과 같은 모양이며 관리 콘솔에서 구할 수 있습니다. " https://trial-4359939-admin.okta.com" .

사용자 이름 할당

선택 사항

지정된 사용자의 사용자 이름을 가져오기 위해 검사할 업스트림 ID 제공자 ID 토큰 또는 사용자 정보 끝점의 할당입니다. 이 필드를 비워두면 업스트림 발급자 URL이 "sub" 할당과 연결되어 Kubernetes에서 사용할 사용자 이름이 생성됩니다.

이 필드는 Pinniped가 인증을 결정하기 위해 업스트림 ID 토큰에서 확인해야 하는 사항을 지정합니다. 제공하지 않으면 사용자 ID는 "https://IDP-ISSUER?sub=UUID" 형식으로 지정됩니다.

그룹 할당

선택 사항

지정된 사용자의 그룹을 가져오기 위해 검사할 업스트림 ID 제공자 ID 토큰 또는 사용자 정보 끝점의 할당입니다. 이 필드를 비워두면 업스트림 ID 제공자의 그룹이 사용되지 않습니다.

그룹 클레임 필드는 Pinniped가 사용자 ID를 인증하기 위해 업스트림 ID 토큰에서 확인해야 하는 사항을 지정합니다.

OAuth 2.0 클라이언트 세부 정보

외부 OIDC 제공자를 감독자에 등록할 때 다음 제공자 OAuth 2.0 클라이언트 세부 정보를 참조하십시오.

표 2. OAuth 2.0 클라이언트 세부 정보
OAuth 2.0 클라이언트 세부 정보 중요도 설명

클라이언트 ID

필수

외부 IDP의 클라이언트 ID

클라이언트 암호

필수

외부 IDP의 클라이언트 암호

추가 설정

외부 OIDC 제공자를 감독자에 등록할 때 다음 추가 설정을 참조하십시오.

표 3. 추가 설정
설정 중요도 설명

추가 범위

선택 사항

토큰에서 요청할 추가 범위

CA(인증 기관) 데이터

선택 사항

보안 외부 IDP 연결을 위한 TLS CA(인증 기관) 데이터

추가 인증 매개 변수

선택 사항

OAuth2 인증 요청 중 추가 매개 변수