コレクションでコンテンツを整理
必要に応じて、コンテンツの保存と分類を行います。
フェデレーション ワークロードの ID リフレクション
Certificate Authority Service を Workload Identity プールと ID リフレクションとともに使用すると、サードパーティ ID を連携し、この ID を証明する証明書を取得できます。
ID リフレクションは、権限のない証明書リクエスト元が、認証情報内の ID に対応するサブジェクト代替名(SAN)を持つ証明書をリクエストするよう制限する、特別な証明書発行モードです。たとえば、フェデレーション サードパーティ ID トークンを持つ Cloud Service Mesh ワークロードは、Mesh ID に対応する SAN で証明書をリクエストできますが、他の SAN で証明書をリクエストすることはできません。
次のステップ
特に記載のない限り、このページのコンテンツはクリエイティブ・コモンズの表示 4.0 ライセンスにより使用許諾されます。コードサンプルは Apache 2.0 ライセンスにより使用許諾されます。詳しくは、Google Developers サイトのポリシーをご覧ください。Java は Oracle および関連会社の登録商標です。
最終更新日 2025-09-04 UTC。
[[["わかりやすい","easyToUnderstand","thumb-up"],["問題の解決に役立った","solvedMyProblem","thumb-up"],["その他","otherUp","thumb-up"]],[["わかりにくい","hardToUnderstand","thumb-down"],["情報またはサンプルコードが不正確","incorrectInformationOrSampleCode","thumb-down"],["必要な情報 / サンプルがない","missingTheInformationSamplesINeed","thumb-down"],["翻訳に関する問題","translationIssue","thumb-down"],["その他","otherDown","thumb-down"]],["最終更新日 2025-09-04 UTC。"],[[["\u003cp\u003eIdentity reflection allows federating a third-party identity to obtain a certificate that attests to that identity through the Certificate Authority Service and workload identity pools.\u003c/p\u003e\n"],["\u003cp\u003eThis process restricts certificate requesters to only request certificates with a subject alternative name (SAN) that matches their identity.\u003c/p\u003e\n"],["\u003cp\u003eIdentity reflection is especially useful for workloads, like those in Cloud Service Mesh, that use federated third-party identity tokens.\u003c/p\u003e\n"],["\u003cp\u003eYou can use Identity reflection with IAM workload identity federation to reflect third-party identities.\u003c/p\u003e\n"]]],[],null,["# Identity reflection for federated workloads\n===========================================\n\nYou can use Certificate Authority Service with [workload identity pools](/iam/docs/workload-identity-federation#pools)\nand identity reflection to federate a third-party identity and obtain a certificate\nthat attests to this identity.\n\nIdentity reflection is a special certificate issuance mode that limits an\nunprivileged certificate requester to requesting certificates with a *subject\nalternative name (SAN)* corresponding to the identity in their credential. For\nexample, an Cloud Service Mesh\nworkload with a federated third-party identity token might be able to request a\ncertificate with a SAN corresponding to its Mesh identity, but cannot request a\ncertificate with any other SAN.\n\nWhat's next\n-----------\n\n- Learn how to reflect [third-party identities](/certificate-authority-service/docs/tutorials/using-3pi-with-reflection) using IAM workload identity federation.\n- Learn more about [SPIFFE](https://spiffe.io)."]]