Fehlerbehebung bei der Identitätsföderation von Arbeitslasten

Auf dieser Seite werden Lösungen für häufige Fehler der Workload Identity-Föderation beschrieben.

DieGoogle Cloud API akzeptiert keine von SecurityTokenService ausgestellten Anmeldedaten

Zugriffstokens, die von der SecurityTokenService API zurückgegeben werden, sind föderierte Zugriffstokens. Die meisten Google Cloud APIs unterstützen zwar die Identitätsföderation, aber bestimmte API-Methoden können Einschränkungen haben. Eine Liste der Einschränkungen finden Sie unter Identitätsföderation: Produkte und Einschränkungen.

Wenn der folgende Fehler auftritt, versuchen Sie möglicherweise, ein föderiertes Zugriffstoken mit einem Dienst zu verwenden, der diese nicht unterstützt.

{
  "error": {
    "code": 401,
    "message": "Request had invalid authentication credentials. Expected OAuth 2 access token, login cookie or other valid authentication credential. See https://developers.google.com/identity/sign-in/web/devconsole-project.",
    "status": "UNAUTHENTICATED",
  }
}

Um diesen Fehler zu beheben, tauschen Sie das föderierte Zugriffstoken gegen ein uneingeschränktes Zugriffstoken aus, indem Sie GenerateAccessToken aufrufen. Weitere Informationen finden Sie unter Kurzlebige Anmeldedaten mit Identitätsföderation abrufen.

Identitätsanbieter zur Verwendung mit der Workload Identity-Föderation zulassen

Wenn Sie versuchen, einen nicht zulässigen Identitätsanbieter als Workload Identity-Poolanbieter zu konfigurieren, tritt der folgende Fehler auf:

FAILED_PRECONDITION: Precondition check failed.
- '@type': type.googleapis.com/google.rpc.PreconditionFailure
  violations:
  - description: "Org Policy violated for value: '{PROVIDER}'."
    subject: orgpolicy:projects/{PROJECT}/locations/global/workloadIdentityPools/{POOL}
    type: constraints/iam.workloadIdentityPoolProviders

Folgen Sie der Anleitung unter Konfiguration des Identitätsanbieters einschränken, um dieses Problem zu beheben und den Identitätsanbieter für die Verwendung mit der Workload Identity-Föderation zuzulassen.

Das eingegebene JWK hat kein gültiges JSON-Format

Wenn Sie einen OIDC-Anbieter konfigurieren und den Fehler Input JWK is not in a valid json format erhalten, kann das daran liegen, dass Endpunkte, die mit selbst signierten Zertifikaten gesichert sind, von Google Cloudnicht unterstützt werden. Insbesondere werden die Felder x5c und x5t nicht unterstützt und müssen aus dem OIDC-JWK entfernt werden.

So beheben Sie Probleme mit Ihrem JWK:

  1. Bearbeiten Sie Ihren JWK und entfernen Sie die Felder x5c (X.509-Zertifikatkette) und x5t (SHA-1-Fingerabdruck des X.509-Zertifikats).

    {
      "kty": "RSA",
      "use": "sig",
      "kid": "example-key-id",
      "alg": "RS256",
      "n": "base64url-modulus",
      "e": "AQAB"
    }
    
  2. Prüfen Sie, ob die verbleibenden JWK-Felder gemäß der OIDC-Spezifikation korrekt formatiert sind.

  3. Konfigurieren Sie den OIDC-Anbieter mit dem aktualisierten JWK.

Fehler beim Herstellen einer Verbindung zum Aussteller der angegebenen Anmeldedaten

Wenn Sie den folgenden Fehler erhalten, kann das daran liegen, dass Google Cloud das OIDC-Metadatendokument oder den JWKS Ihres Identitätsanbieters nicht abrufen kann:

{
  "error": "invalid_grant",
  "error_description":"Error connecting to the given credential's issuer."
 }

Dieser Fehler tritt normalerweise auf, weil die Endpunkte nicht so konfiguriert sind, dass sie über das öffentliche Internet erreichbar sind. Prüfen Sie, ob der OIDC-Endpunkt öffentlich verfügbar ist und der OIDC-Spezifikation entspricht, um diesen Fehler zu beheben. Weitere Informationen finden Sie unter Externen Identitätsanbieter vorbereiten.

Wenn der Fehler weiterhin auftritt, prüfen Sie, ob der Tokenaussteller, der iss-Anspruch im Token, korrekt ist.

Der zugeordnete google.subject-Anspruch überschreitet das Limit von 127 Byte

Wenn Sie die folgende Fehlermeldung erhalten, liegt das daran, dass die eingehenden Anmeldedaten, die von der SecurityTokenService API empfangen werden, einen google.subject-Anspruch generieren, der das Zeichenlimit überschreitet:

{
  "error": "invalid_request",
  "error_description":"The size of mapped attribute google.subject exceeds the 127 bytes limit. Either modify your attribute mapping or the incoming assertion to produce a mapped attribute that is less than 127 bytes."
 }

Um dieses Problem zu beheben, verwenden Sie die Funktion extract, um unnötige Zeichen zu entfernen und eine eindeutige Kennung für das Thema aus einem längeren Anspruch zu extrahieren, z. B.:

google.subject=assertion.sub.extract('/users/{sub_claim}')

Fehler 429: Zu viele Anfragen

Wenn Sie beim Anfordern eines Tokens von der SecurityTokenService API den Fehler 429 Too Many Requests erhalten, bedeutet das, dass Ihr Google Cloud -Projekt das Ratenkontingentlimit für die API überschritten hat.

Die Fehlermeldung sieht etwa so aus:

{
  "error": "quota_exceeded",
  "error_description":"The request was throttled due to rate limit: sts.googleapis.com/requests. Please retry after a few seconds."
 }

Um dieses Problem zu beheben, ermitteln Sie den in der Fehlermeldung angegebenen Messwertnamen sts.googleapis.com/requests, suchen Sie den entsprechenden Messwertnamen auf der IAM-Kontingentseite, prüfen Sie, ob der Prozentsatz der Nutzung das Kontingent überschreitet, und fordern Sie dann eine Kontingenterhöhung an.