Nesta página, descrevemos algumas maneiras de adquirir um token de ID do OpenID Connect (OIDC) assinado pelo Google. É necessário um token de ID assinado pelo Google para os seguintes casos de uso de autenticação:
- Como acessar um serviço do Cloud Run
- Como invocar uma função do Cloud
- Como autenticar um usuário em um aplicativo protegido pelo Identity-Aware Proxy (IAP)
- Como fazer uma solicitação para uma API implantada com o gateway de API ou o Cloud Endpoints
Para informações sobre o conteúdo e o ciclo de vida do token de código, consulte Tokens de ID.
Os tokens de ID têm um serviço ou aplicativo específico para que possam ser usados, especificados pelo valor da reivindicação aud
. Nesta página, usamos o termo serviço de destino para fazer referência ao serviço ou ao aplicativo em que o token de ID pode ser usado para autenticação.
Ao receber o token de ID, é possível incluí-lo em um
cabeçalho Authorization
na solicitação para o serviço de destino.
Métodos para receber um token de ID
Há várias maneiras de receber um token de ID. Nesta página, descrevemos os seguintes métodos:
- Receber um token de ID do servidor de metadados
- Usar um serviço de conexão para gerar um token de ID
- Gere um token de ID com a representação de uma conta de serviço
- Gerar um token de ID genérico para desenvolvimento com o Cloud Run e o Cloud Functions
- Gerar um token de ID com um provedor de identidade externo
O Cloud Run e o Cloud Functions fornecem maneiras específicas de serviços para receber um token de ID. Para mais informações, consulte Autenticar aplicativos hospedados no Cloud Run ou no Cloud Functions
Se um token de ID não for aceito por um aplicativo não hospedado no Google Cloud, provavelmente você poderá usar esses métodos, mas determine as declarações de token de ID que o aplicativo exige.
Receber um token de ID do servidor de metadados
Quando o código está em execução em um recurso que pode ter uma conta de serviço anexada, o servidor de metadados do serviço associado pode, na maioria dos casos, fornecer um ID. token. O servidor de metadados gera tokens de ID para a conta de serviço anexada. Não é possível receber um token de ID com base nas credenciais de usuário do servidor de metadados.
É possível receber um token de ID do servidor de metadados quando o código é executado nos seguintes serviços do Google Cloud:
- Compute Engine
- Ambiente padrão do App Engine
- Ambiente flexível do App Engine
- Cloud Functions
- Cloud Run
- Google Kubernetes Engine
- Cloud Build
Para recuperar um token de ID do servidor de metadados, consulte o endpoint de identidade da conta de serviço, conforme mostrado neste exemplo.
curl
Substitua AUDIENCE
pelo URI do serviço de destino. Por exemplo, http://www.example.com
.
curl -H "Metadata-Flavor: Google" \ 'http://metadata/computeMetadata/v1/instance/service-accounts/default/identity?audience=AUDIENCE'
PowerShell
Substitua AUDIENCE
pelo URI do serviço de destino. Por exemplo, http://www.example.com
.
$value = (Invoke-RestMethod ` -Headers @{'Metadata-Flavor' = 'Google'} ` -Uri "http://metadata/computeMetadata/v1/instance/service-accounts/default/identity?audience=AUDIENCE") $value
Java
Para executar este exemplo de código, instale a Biblioteca de cliente da API do Google para Java.
Go
Node.js
Python
Para executar este exemplo de código, instale a Biblioteca Python do Google Auth.
Ruby
Para executar esse exemplo de código, instale a Biblioteca do Google Auth para Ruby.
Usar um serviço de conexão para gerar um token de ID
Alguns serviços do Google Cloud ajudam você a chamar outros. Esses serviços
de conexão podem ajudar a determinar quando a chamada é feita ou a gerenciar um fluxo de trabalho que
inclui a chamada do serviço. Os serviços a seguir podem incluir automaticamente um token de ID com o valor apropriado para a declaração aud
quando iniciarem uma chamada para um serviço que exige um token de ID:
- Cloud Scheduler
- O Cloud Scheduler é um programador de cron jobs totalmente gerenciado e de nível empresarial. É possível configurar o Cloud Scheduler para incluir um token de ID ou de acesso quando ele invocar outro serviço. Para mais informações, consulte Como usar a autenticação com destinos HTTP.
- Cloud Tasks
- O Cloud Tasks permite gerenciar a execução de tarefas distribuídas. É possível configurar uma tarefa para incluir um token de ID ou um token de acesso ao chamar um serviço. Para mais informações, consulte Como usar tarefas de destino HTTP com tokens de autenticação.
- Pub/Sub
- O Pub/Sub permite a comunicação assíncrona entre os serviços. É possível configurar o Pub/Sub para incluir um token de ID com uma mensagem. Para mais informações, consulte Autenticação pela assinatura push.
- Fluxos de trabalho
- O Workflows é uma plataforma de orquestração totalmente gerenciada que executa serviços na ordem que você define, ou seja, em um fluxo de trabalho. É possível definir um fluxo de trabalho para incluir um token de ID ou de acesso quando ele invocar outro serviço. Para mais informações, consulte Fazer solicitações autenticadas de um fluxo de trabalho.
Gerar um token de ID com a representação de uma conta de serviço
A representação de uma conta de serviço permite que um principal gere credenciais de curta duração para uma conta de serviço confiável. O principal pode usar essas credenciais para autenticar como a conta de serviço.
Antes que um principal possa representar uma conta de serviço, ele precisa ter um papel do IAM nessa conta de serviço que permita a representação. Se a principal for outra conta de serviço, pode parecer mais fácil simplesmente fornecer as permissões necessárias diretamente para essa conta de serviço e ativá-la. Essa configuração, conhecida como autorepresentação, cria uma vulnerabilidade de segurança, porque permite que a conta de serviço crie um token de acesso que pode ser atualizado perpetuamente.
A representação da conta de serviço precisa sempre envolver dois principais: um principal que representa o autor da chamada e a conta de serviço que está sendo representada, chamada de conta de serviço com privilégios.
Para gerar um token de ID simulando uma conta de serviço, use o processo geral a seguir.
Para instruções passo a passo, consulte Criar um token de ID.
Identifique ou crie uma conta de serviço para ser a de serviço com privilégios. Conceda à conta de serviço o papel do IAM necessário no serviço de destino:
- Para serviços do Cloud Run, conceda o papel Invocador do Cloud Run
(
roles/run.invoker
). - Para o Cloud Functions, conceda o papel Invocador do Cloud Functions
(
roles/cloudfunctions.invoker
). - Para outros serviços de destino, consulte a documentação do produto para o serviço.
- Para serviços do Cloud Run, conceda o papel Invocador do Cloud Run
(
Identifique o principal que executará a representação e configure o Application Default Credentials (ADC) para usar as credenciais do principal.
Para ambientes de desenvolvimento, o principal geralmente é a conta de usuário que você forneceu ao ADC usando a CLI gcloud. No entanto, se você está executando em um recurso com uma conta de serviço anexada, a conta de serviço anexada é a principal.
Conceda ao principal o papel de Criador de token de identidade do OpenID Connect da conta de serviço (
roles/iam.serviceAccountOpenIdTokenCreator
).Use a API IAM Credentials para gerar o token de ID da conta de serviço autorizada.
Gerar um token de ID genérico para desenvolvimento com o Cloud Run e o Cloud Functions
Use a CLI gcloud para receber um token de ID para suas credenciais de usuário que podem ser usadas com qualquer serviço ou função do Cloud Run em que o autor da chamada tenha as permissões do IAM necessárias para invocar. Esse token não vai funcionar em nenhum outro aplicativo.
Para gerar um token de ID genérico, use o comando
gloud auth print-identity-token
:gcloud auth print-identity-token
Gerar um token de ID usando um provedor de identidade externo
A geração de um token de ID usando um provedor de identidade externo usa a federação de identidade de carga de trabalho, que permite configurar uma relação entre o Google Cloud e seu provedor de identidade externo. Em seguida, use as credenciais fornecidas pelo seu provedor de identidade externo para gerar tokens de ID ou de acesso que podem ser usados no Google Cloud.
Para gerar um token de ID para credenciais fornecidas por um provedor de identidade externo, siga estas etapas:
Identifique ou crie uma conta de serviço a fim de fornecer os papéis do IAM necessários para chamar o serviço de destino.
Uma prática recomendada é criar uma conta de serviço especificamente para essa finalidade e atribuir a ela apenas o papel necessário. Essa abordagem segue o princípio de privilégio mínimo.
Identifique os papéis necessários para invocar o serviço de destino. Conceda esses papéis à conta de serviço no serviço de destino:
- Para
serviços do Cloud Run,
conceda o papel de invocador do Cloud Run (
roles/run.invoker
). - Para o
Cloud Functions,
conceda o papel de invocador do Cloud Functions (
roles/cloudfunctions.invoker
). - Para outros serviços de destino, consulte a documentação do produto para o serviço.
- Para
serviços do Cloud Run,
conceda o papel de invocador do Cloud Run (
Configure a federação de identidade da carga de trabalho para seu provedor de identidade, conforme descrito em Como configurar a federação de identidade da carga de trabalho.
Siga as instruções em Como conceder permissões de identidades externas para representar uma conta de serviço, usando a conta de serviço configurada nas etapas anteriores como a conta de serviço a ser representada.
Use a API REST para adquirir um token de curta duração, mas, na última etapa, use o método
generateIdToken
para receber um token de ID:Bash
ID_TOKEN=$(curl -0 -X POST https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT_EMAIL:generateIdToken \ -H "Content-Type: text/json; charset=utf-8" \ -H "Authorization: Bearer $STS_TOKEN" \ -d @- <<EOF | jq -r .token { "audience": "AUDIENCE" } EOF ) echo $ID_TOKEN
PowerShell
$IdToken = (Invoke-RestMethod ` -Method POST ` -Uri "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT_EMAIL:generateIdToken" ` -Headers @{ "Authorization" = "Bearer $StsToken" } ` -ContentType "application/json" ` -Body (@{ "audience" = "AUDIENCE" } | ConvertTo-Json)).token Write-Host $IdToken
Substitua:
-
SERVICE_ACCOUNT_EMAIL
: o endereço de e-mail da conta de serviço. -
AUDIENCE
: o público-alvo do token, como o app ou serviço que o token usará para acessar.
-
A seguir
- Entenda os tokens de ID.
- Receba ajuda para verificar tokens de ID.
- Use comandos do shell para consultar o servidor de metadados do Compute Engine.
- Saiba mais sobre autenticação no Google.
- Analise os casos de uso de autenticação.