您可以為 主管 設定任何符合 OIDC 的身分識別提供者 (IDP),例如 Okta。若要完成整合,請使用 主管 的回撥 URL 設定 IDP。

支援的外部 OIDC 提供者

您可以為 主管 設定任何 符合 OIDC 的身分識別提供者。下表列出了常見的身分識別提供者,並包含組態指示的連結。
外部 IDP 組態

Okta

使用 Okta 的 OIDC 組態範例

另請參閱〈將 Okta 設定為 Pinniped 的 OIDC 提供者〉

Workspace ONE

將 Workspace ONE Access 設定為 Pinniped 的 OIDC 提供者

Dex

將 Dex 設定為 Pinniped 的 OIDC 提供者

GitLab

將 GitLab 設定為 Pinniped 的 OIDC 提供者

Google OAuth

使用 Google OAuth 2

使用回撥 URL 為 主管 設定 IDP

主管 作為外部身分識別提供者的 OAuth 2.0 用戶端。 主管 回撥 URL 是用於設定外部 IDP 的重新導向 URL。回撥 URL 採用 https://SUPERVISOR-VIP/wcp/pinniped/callback 形式。
備註: 執行 IDP 登錄時,此回撥 URL 在要設定的 OIDC 提供者中可能稱為「重新導向 URL」。

設定外部身分識別提供者以與 主管 上的 TKG 搭配使用時,可為此外部身分識別提供者提供在 vCenter Server 中的工作負載管理 > 主管 > 設定 > 身分識別提供者畫面中提供的回撥 URL

使用 Okta 的 OIDC 組態範例

Okta 允許使用者使用 OpenID Connect 通訊協定登入應用程式。將 Okta 設定為 主管Tanzu Kubernetes Grid 的外部身分識別提供者後, 主管Tanzu Kubernetes Grid 叢集上的 Pinniped 網繭可控制使用者對 vSphere 命名空間 和工作負載叢集的存取。
  1. 複製在 Okta 和 vCenter Server 之間建立 OIDC 連線所需的身分識別提供者回撥 URL。

    使用 vSphere Client,從工作負載管理 > 主管 > 設定 > 身分識別提供者中取得身分識別提供者回撥 URL。將此 URL 複製到暫存位置。

    圖 1. IDP 回撥 URL
    IDP 回撥 URL
  2. 登入組織的 Okta 帳戶,或在 https://www.okta.com/ 中建立試用帳戶。按一下管理按鈕以開啟 Okta 管理主控台。
    圖 2. Okta 管理主控台
    Okta 管理主控台
  3. 從管理主控台的 [入門] 頁面中,導覽至應用程式 > 應用程式
    圖 3. Okta 入門
    Okta 入門
  4. 選取建立應用程式整合選項。
    圖 4. Okta 建立應用程式整合
    Okta 建立應用程式整合
  5. 建立新應用程式整合。
    • 將登入方法設定為 OIDC - OpenID Connect
    • 將應用程式類型設定為 Web 應用程式
    圖 5. Okta 登入方法和應用程式類型
    Okta 登入方法和應用程式類型
  6. 設定 Okta Web 應用程式整合詳細資料。
    • 提供應用程式整合名稱,此名稱是使用者定義的字串。
    • 指定授與類型:選取授權代碼,並選取重新整理 Token
    • 登入重新導向 URI:輸入從 主管 複製的身分識別提供者回撥 URL (參閱步驟 1),例如 https://10.27.62.33/wcp/pinnipend/callback
    • 登出重新導向 URI:輸入從 主管 複製的身分識別提供者回撥 URL (參閱步驟 1) ,例如 https://10.27.62.33/wcp/pinnipend/callback
    圖 6. Okta Web 應用程式整合詳細資料
    Okta Web 應用程式整合詳細資料
  7. 設定使用者存取控制。

    指派 > 受控存取權區段中,您可以選擇控制組織中的哪些 Okta 使用者可以存取 Tanzu Kubernetes Grid 叢集。在該範例中,允許組織中定義的每個使用者都具有存取權。

    圖 7. Okta 存取控制
    Okta 存取控制
  8. 按一下儲存並複製傳回的用戶端識別碼用戶端密碼

    儲存 OKTA 組態時,管理主控台會為您提供用戶端識別碼用戶端密碼。複製這兩條資料,因為為 主管 設定外部身分識別提供者時需要它們。

    圖 8. OIDC 用戶端識別碼和密碼
    OIDC 用戶端識別碼和密碼
  9. 設定 OpenID Connect 識別碼 Token。

    按一下登入索引標籤。在 OpenID Connect 識別碼 Token 區段中,按一下 [編輯] 連結,填寫群組宣告類型篩選器,然後按一下儲存以儲存設定。

    例如,如果您希望宣告名稱「groups」符合所有群組,請選取群組 > 符合 Regex > *

    圖 9. OpenID Connect 識別碼 Token
    OpenID Connect 識別碼 Token
  10. 複製簽發者 URL

    若要設定 主管,除了用戶端識別碼用戶端密碼之外,還需要簽發者 URL

    從 Okta 管理主控台複製 簽發者 URL
    圖 10. Okta 簽發者 URL
    Okta 簽發者 URL