メソッド: projects.serviceAccounts.generateIdToken

サービス アカウントの OpenID Connect ID トークンを生成します。

HTTP リクエスト

POST https://iamcredentials.googleapis.com/v1/{name=projects/*/serviceAccounts/*}:generateIdToken

この URL は gRPC Transcoding 構文を使用します。

パスパラメータ

パラメータ
name

string

認証情報のリクエスト対象とするサービス アカウントのリソース名。projects/-/serviceAccounts/{ACCOUNT_EMAIL_OR_UNIQUEID} の形式で指定します。- ワイルドカード文字は必須です。ワイルドカード文字をプロジェクト ID で置き換えると無効になります。

承認には、指定したリソース name に対する次の Google IAM 権限が必要です。

  • iam.serviceAccounts.getOpenIdToken

リクエストの本文

リクエストの本文には、次の構造のデータが含まれます。

JSON 表現

{
  "delegates": [
    string
  ],
  "audience": string,
  "includeEmail": boolean
}
項目
delegates[]

string

委任チェーン内の一連のサービス アカウント。各サービス アカウントには、チェーン内の次のサービス アカウントに roles/iam.serviceAccountTokenCreator の役割を付与する必要があります。チェーンの最後のサービス アカウントには、リクエストの name フィールドで指定されているサービス アカウントの roles/iam.serviceAccountTokenCreator の役割を付与する必要があります。

委任の形式は、projects/-/serviceAccounts/{ACCOUNT_EMAIL_OR_UNIQUEID} となります。- ワイルドカード文字は必須です。ワイルドカード文字をプロジェクト ID で置き換えると無効になります。

audience

string

そのトークンの対象。トークンによってアクセス権が付与される API やアカウントなど。

includeEmail

boolean

トークンにサービス アカウントのメールを含めます。true に設定すると、トークンに email クレームと email_verified クレームが含まれます。

レスポンスの本文

成功すると、レスポンスの本文に次の構造のデータが含まれます。

JSON 表現

{
  "token": string
}
項目
token

string

OpenId Connect ID トークン。

承認スコープ

次の OAuth スコープのいずれかが必要です。

  • https://www.googleapis.com/auth/iam
  • https://www.googleapis.com/auth/cloud-platform

詳細については、認証の概要をご覧ください。

試してみましょう

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Cloud Identity and Access Management