Auf dieser Seite werden einige Möglichkeiten zum Abrufen eines von Google signierten OIDC-ID-Tokens (OpenID Connect) beschrieben.
Für die folgenden Authentifizierungsanwendungsfälle benötigen Sie ein von Google signiertes ID-Token:
- Auf einen Cloud Run-Dienst zugreifen
- Cloud Run-Funktion aufrufen
- Nutzer bei einer Anwendung authentifizieren, die mit Identity-Aware Proxy (IAP) gesichert ist
- Anfrage an eine mit API Gateway oder Cloud Endpoints bereitgestellte API stellen
Informationen zu Inhalt und Lebensdauer von ID-Tokens finden Sie unter ID-Tokens.
ID-Tokens haben einen bestimmten Dienst oder eine bestimmte Anwendung, für den sie verwendet werden können. Dies wird durch den Wert ihrer aud
-Anforderung angegeben. Auf dieser Seite wird der Begriff Zieldienst verwendet, um sich auf den Dienst oder die Anwendung zu beziehen, mit dem das ID-Token authentifiziert werden kann.
Wenn Sie das ID-Token abrufen, können Sie es in einen Authorization
-Header in der Anfrage an den Zieldienst einfügen.
Methoden zum Abrufen eines ID-Tokens
Es gibt verschiedene Möglichkeiten, ein ID-Token abzurufen. Auf dieser Seite werden die folgenden Methoden beschrieben:
- ID-Token vom Metadatenserver abrufen
- Verbindungsdienst zum Generieren eines ID-Tokens verwenden
- ID-Token durch Übernahme der Identität eines Dienstkontos generieren
- Generisches ID-Token für die Entwicklung mit Cloud Run und Cloud Run Functions generieren
Wenn Sie ein ID-Token für eine Anwendung benötigen, die nicht in Google Cloud gehostet wird, können Sie diese Methoden wahrscheinlich verwenden. Sie sollten jedoch feststellen, welche ID-Token-Anforderungen die Anwendung erfordert.
ID-Token vom Metadatenserver abrufen
Wenn Ihr Code auf einer Ressource ausgeführt wird, der ein Dienstkonto angehängt sein kann, kann der Metadatenserver für den zugehörigen Dienst in der Regel ein ID-Token angeben. Der Metadatenserver generiert ID-Tokens für das angehängte Dienstkonto. Sie können kein ID-Token basierend auf Nutzeranmeldedaten vom Metadatenserver abrufen.
Sie können ein ID-Token vom Metadatenserver abrufen, wenn Ihr Code in den folgenden Google Cloud-Diensten ausgeführt wird:
- Compute Engine
- App Engine-Standardumgebung
- Flexible App Engine-Umgebung
- Cloud Run-Funktionen
- Cloud Run
- Google Kubernetes Engine
- Cloud Build
Um ein ID-Token vom Metadatenserver abzurufen, fragen Sie den Identitätsendpunkt für das Dienstkonto ab, wie in diesem Beispiel gezeigt.
curl
Ersetzen Sie AUDIENCE
durch den URI für den Zieldienst, z. B. http://www.example.com
.
curl -H "Metadata-Flavor: Google" \ 'http://metadata/computeMetadata/v1/instance/service-accounts/default/identity?audience=AUDIENCE'
PowerShell
Ersetzen Sie AUDIENCE
durch den URI für den Zieldienst, z. B. http://www.example.com
.
$value = (Invoke-RestMethod ` -Headers @{'Metadata-Flavor' = 'Google'} ` -Uri "http://metadata/computeMetadata/v1/instance/service-accounts/default/identity?audience=AUDIENCE") $value
Java
Zum Ausführen dieses Codebeispiels müssen Sie die Auth-Clientbibliothek für Java installieren.
Go
Node.js
Zum Ausführen dieses Codebeispiels müssen Sie die Google-Authentifizierungsbibliothek für Node.js installieren
Python
Zum Ausführen dieses Codebeispiels müssen Sie die Google Auth-Python-Bibliothek installieren.
Ruby
Zum Ausführen dieses Codebeispiels müssen Sie die Google-Authentifizierungsbibliothek für Ruby installieren.
Verbindungsdienst zum Generieren eines ID-Tokens verwenden
Einige Google Cloud-Dienste unterstützen Sie beim Aufrufen anderer Dienste. Diese Verbindungsdienste können helfen, den Zeitpunkt des Aufrufs zu bestimmen, oder einen Workflow verwalten, der den Aufruf des Dienstes umfasst. Die folgenden Dienste können automatisch ein ID-Token mit dem entsprechenden Wert für die aud
-Anforderung enthalten, wenn sie einen Aufruf eines Dienstes initiieren, der ein ID-Token erfordert:
- Cloud Scheduler
- Cloud Scheduler ist ein vollständig verwalteter Cronjob-Planer für Unternehmen. Sie können Cloud Scheduler so konfigurieren, dass er entweder ein ID-Token oder ein Zugriffstoken enthält, wenn er einen anderen Dienst aufruft. Weitere Informationen finden Sie unter Authentifizierung mit HTTP-Zielen verwenden.
- Cloud Tasks
- Mit Cloud Tasks können Sie die Ausführung verteilter Aufgaben verwalten. Sie können eine Aufgabe so konfigurieren, dass sie entweder ein ID-Token oder ein Zugriffstoken enthält, wenn sie einen Dienst aufruft. Weitere Informationen finden Sie unter HTTP-Zielaufgaben mit Authentifizierungstokens verwenden.
- Pub/Sub
- Pub/Sub ermöglicht die asynchrone Kommunikation zwischen Diensten. Sie können Pub/Sub so konfigurieren, dass ein ID-Token mit einer Nachricht hinzugefügt wird. Weitere Informationen finden Sie unter Authentifizierung für Push-Abos.
- Workflows
- Workflows ist eine vollständig verwaltete Orchestrierungsplattform, die Dienste in einer von Ihnen definierten Reihenfolge ausführt: ein Workflow. Sie können einen Workflow so definieren, dass er entweder ein ID-Token oder ein Zugriffstoken enthalten, wenn er einen anderen Dienst aufruft. Weitere Informationen finden Sie unter Authentifizierte Anfragen von einem Workflow aus ausführen.
ID-Token durch Übernahme der Identität eines Dienstkontos generieren
Die Identitätsübertragung für ein Dienstkonto ermöglicht es einem Hauptkonto, kurzlebige Anmeldedaten für ein vertrauenswürdiges Dienstkonto zu generieren. Das Hauptkonto kann diese Anmeldedaten dann zur Authentifizierung als Dienstkonto verwenden.
Bevor ein Hauptkonto die Identität eines Dienstkontos übernehmen kann, muss es für dieses Dienstkonto eine IAM-Rolle haben, die die Identitätsübertragung aktiviert. Wenn das Hauptkonto selbst ein anderes Dienstkonto ist, scheint es einfacher, die erforderlichen Berechtigungen direkt für dieses Dienstkonto bereitzustellen und eine Identitätsübernahme zu ermöglichen. Diese Konfiguration, die als Selbstidentität bezeichnet wird, erstellt eine Sicherheitslücke, da das Dienstkonto ein Zugriffstoken erstellen kann, das unbefristet aktualisiert werden kann.
Die Identitätsübertragung für ein Dienstkonto sollte immer zwei Hauptkonten umfassen: ein Hauptkonto, das den Aufrufer darstellt, und das Dienstkonto, dessen Identität imitiert wird. Dieses Konto wird als das privilegierte Dienstkonto bezeichnet, das die Berechtigung übernimmt.
So generieren Sie ein ID-Token, indem Sie die Identität eines Dienstkontos übernehmen.
Eine detaillierte Anleitung finden Sie unter ID-Token erstellen.
Ermitteln oder erstellen Sie ein Dienstkonto, das das Dienstkonto ist, das Berechtigungen verwendet.
-
Ermitteln Sie die erforderlichen Rollen, um den Zieldienst aufzurufen. Weisen Sie dem Dienstkonto für den Zieldienst diese Rollen zu:
- Gewähren Sie für Cloud Run-Dienste die Rolle "Cloud Run Invoker" (
roles/run.invoker
). - Gewähren Sie für Cloud Run Functions die Rolle "Cloud Functions-Invoker" (
roles/cloudfunctions.invoker
). - Informationen zu anderen Zieldiensten finden Sie in der Produktdokumentation für den Dienst.
- Gewähren Sie für Cloud Run-Dienste die Rolle "Cloud Run Invoker" (
Identifizieren Sie das Hauptkonto, das die ldentitätsübertragung durchführt, und richten Sie Standardanmeldedaten für Anwendungen (Application Default Credentials, ADC) ein, um die Anmeldedaten für dieses Hauptkonto zu verwenden.
In Entwicklungsumgebungen ist das Hauptkonto in der Regel das Nutzerkonto, das Sie mithilfe der gcloud-Befehlszeile für ADC bereitgestellt haben. Wenn Sie jedoch eine Ressource mit einem angehängten Dienstkonto ausführen, ist das angehängte Dienstkonto das Hauptkonto.
Gewähren Sie dem Hauptkonto die Rolle „Ersteller des OpenID Connect-Identitätstokens für das Dienstkonto“ (
roles/iam.serviceAccountOpenIdTokenCreator
).Generieren Sie mithilfe der IAM Credentials API das ID-Token für das autorisierte Dienstkonto.
Generisches ID-Token für die Entwicklung mit Cloud Run und Cloud Run Functions generieren
Sie können die gcloud CLI verwenden, um ein ID-Token für Ihre Nutzeranmeldedaten zu erhalten, das mit jedem Cloud Run-Dienst oder jeder Cloud Run Functions-Funktion verwendet werden kann, für deren Aufruf der Aufrufer über die erforderlichen IAM-Berechtigungen verfügt. Dieses Token funktioniert nicht für andere Anwendungen.
Verwenden Sie zum Generieren eines generischen ID-Tokens den Befehl
gcloud auth print-identity-token
:gcloud auth print-identity-token
Nächste Schritte
- Informieren Sie sich über ID-Tokens.
- Verwenden Sie Shell-Befehle, um den Compute Engine-Metadatenserver abzufragen.
- Weitere Informationen zu Authentifizierungsmethoden