Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Réflexion d'identité pour les charges de travail fédérées
Vous pouvez utiliser le service d'autorité de certification avec des pools d'identités de charge de travail et la réflexion d'identité pour fédérer une identité tierce et obtenir un certificat attestant de cette identité.
La réflexion d'identité est un mode d'émission de certificats spécial qui limite un demandeur de certificat non privilégié à demander des certificats avec un autre nom d'objet (SAN) correspondant à l'identité figurant dans ses identifiants. Par exemple, une charge de travail Cloud Service Mesh avec un jeton d'identité tiers fédéré peut être en mesure de demander un certificat avec un SAN correspondant à son identité Mesh, mais ne peut pas demander de certificat avec un autre SAN.
Étape suivante
- Découvrez comment refléter les identités tierces à l'aide de la fédération d'identités de charge de travail IAM.
- En savoir plus sur SPIFFE
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/04 (UTC)."],[[["\u003cp\u003eIdentity reflection allows federating a third-party identity to obtain a certificate that attests to that identity through the Certificate Authority Service and workload identity pools.\u003c/p\u003e\n"],["\u003cp\u003eThis process restricts certificate requesters to only request certificates with a subject alternative name (SAN) that matches their identity.\u003c/p\u003e\n"],["\u003cp\u003eIdentity reflection is especially useful for workloads, like those in Cloud Service Mesh, that use federated third-party identity tokens.\u003c/p\u003e\n"],["\u003cp\u003eYou can use Identity reflection with IAM workload identity federation to reflect third-party identities.\u003c/p\u003e\n"]]],[],null,["# Identity reflection for federated workloads\n===========================================\n\nYou can use Certificate Authority Service with [workload identity pools](/iam/docs/workload-identity-federation#pools)\nand identity reflection to federate a third-party identity and obtain a certificate\nthat attests to this identity.\n\nIdentity reflection is a special certificate issuance mode that limits an\nunprivileged certificate requester to requesting certificates with a *subject\nalternative name (SAN)* corresponding to the identity in their credential. For\nexample, an Cloud Service Mesh\nworkload with a federated third-party identity token might be able to request a\ncertificate with a SAN corresponding to its Mesh identity, but cannot request a\ncertificate with any other SAN.\n\nWhat's next\n-----------\n\n- Learn how to reflect [third-party identities](/certificate-authority-service/docs/tutorials/using-3pi-with-reflection) using IAM workload identity federation.\n- Learn more about [SPIFFE](https://spiffe.io)."]]