メソッド: projects.serviceAccounts.generateIdToken

サービス アカウントの OpenID Connect ID トークンを生成します。

HTTP リクエスト

POST https://iamcredentials.googleapis.com/v1/{name=projects/*/serviceAccounts/*}:generateIdToken

この URL は Google API HTTP アノテーション構文を使用します。

パスパラメータ

パラメータ
name

string

認証情報がリクエストされるサービス アカウントのリソース名。projects/-/serviceAccounts/{ACCOUNT_EMAIL_OR_UNIQUEID} の形式で指定します。- をプロジェクトのワイルドカードとして使用すると、アカウントからプロジェクトが推定されます。

承認には、指定されたリソース name に対する次の Google IAM 権限が必要です。

  • iam.serviceAccounts.getOpenIdToken

リクエストの本文

リクエストの本文には、次の構造を使用したデータが含まれます。

JSON 表現

{
  "delegates": [
    string
  ],
  "audience": string,
  "includeEmail": boolean
}
項目
delegates[]

string

委任チェーン内の一連のサービス アカウント。各サービス アカウントには、チェーン内の次のサービス アカウントに roles/iam.serviceAccountTokenCreator の役割を付与する必要があります。チェーンの最後のサービス アカウントには、リクエストの name フィールドで指定されているサービス アカウントの roles/iam.serviceAccountTokenCreator の役割を付与する必要があります。

委任の形式は、projects/-/serviceAccounts/{ACCOUNT_EMAIL_OR_UNIQUEID} となります。

audience

string

トークンによってアクセス権が付与される API やアカウントなど、そのトークンのオーディエンス。

includeEmail

boolean

トークンにサービス アカウントのメールを含めます。true に設定すると、トークンに email クレームと email_verified クレームが含まれます。

レスポンスの本文

成功すると、レスポンスの本文に次の構造のデータが含まれます。

JSON 表現

{
  "token": string
}
項目
token

string

OpenId Connect ID トークン。

承認スコープ

次の OAuth スコープのいずれかが必要です。

  • https://www.googleapis.com/auth/iam
  • https://www.googleapis.com/auth/cloud-platform

詳細については、認証の概要をご覧ください。

試してみましょう

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Cloud Identity and Access Management