Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Riflessione delle identità per i carichi di lavoro federati
Puoi utilizzare il servizio Certificate Authority con i pool di identità per i carichi di lavoro e il riflesso delle identità per federare un'identità di terze parti e ottenere un certificato che attesti questa identità.
La riflessione dell'identità è una modalità speciale di rilascio dei certificati che limita un richiedente di certificati senza privilegi a richiedere certificati con un nome alternativo dell'oggetto (SAN) corrispondente all'identità nella sua credenziale. Ad esempio, un workload Cloud Service Mesh con un token di identità di terze parti federato potrebbe essere in grado di richiedere un certificato con un SAN corrispondente alla sua identità Mesh, ma non può richiedere un certificato con nessun altro SAN.
Passaggi successivi
- Scopri come riflettere le identità di terze parti
utilizzando la federazione delle identità per i carichi di lavoro IAM.
- Scopri di più su SPIFFE.
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2025-09-04 UTC.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[[["\u003cp\u003eIdentity reflection allows federating a third-party identity to obtain a certificate that attests to that identity through the Certificate Authority Service and workload identity pools.\u003c/p\u003e\n"],["\u003cp\u003eThis process restricts certificate requesters to only request certificates with a subject alternative name (SAN) that matches their identity.\u003c/p\u003e\n"],["\u003cp\u003eIdentity reflection is especially useful for workloads, like those in Cloud Service Mesh, that use federated third-party identity tokens.\u003c/p\u003e\n"],["\u003cp\u003eYou can use Identity reflection with IAM workload identity federation to reflect third-party identities.\u003c/p\u003e\n"]]],[],null,["# Identity reflection for federated workloads\n===========================================\n\nYou can use Certificate Authority Service with [workload identity pools](/iam/docs/workload-identity-federation#pools)\nand identity reflection to federate a third-party identity and obtain a certificate\nthat attests to this identity.\n\nIdentity reflection is a special certificate issuance mode that limits an\nunprivileged certificate requester to requesting certificates with a *subject\nalternative name (SAN)* corresponding to the identity in their credential. For\nexample, an Cloud Service Mesh\nworkload with a federated third-party identity token might be able to request a\ncertificate with a SAN corresponding to its Mesh identity, but cannot request a\ncertificate with any other SAN.\n\nWhat's next\n-----------\n\n- Learn how to reflect [third-party identities](/certificate-authority-service/docs/tutorials/using-3pi-with-reflection) using IAM workload identity federation.\n- Learn more about [SPIFFE](https://spiffe.io)."]]