워크로드 아이덴티티 제휴 문제 해결

이 페이지에서는 일반적인 워크로드 아이덴티티 제휴 오류의 해결 방법을 설명합니다.

Google Cloud API가 SecurityTokenService에서 발급한 사용자 인증 정보를 허용하지 않음

SecurityTokenService API에서 반환된 액세스 토큰은 제휴된 액세스 토큰입니다. 대부분의 Google Cloud API가 ID 제휴를 지원하지만 특정 API 메서드에는 제한사항이 적용될 수 있습니다. 제한사항 목록은 ID 제휴: 제품 및 제한사항을 참조하세요.

제휴 액세스 토큰이 지원되지 않는 서비스에 제휴 액세스 토큰을 사용하려고 시도하면 다음 오류가 발생할 수 있습니다.

{
  "error": {
    "code": 401,
    "message": "Request had invalid authentication credentials. Expected OAuth 2 access token, login cookie or other valid authentication credential. See https://developers.google.com/identity/sign-in/web/devconsole-project.",
    "status": "UNAUTHENTICATED",
  }
}

이 오류를 해결하려면 GenerateAccessToken을 호출하여 제휴 액세스 토큰을 무제한 액세스 토큰으로 교환합니다. 자세한 내용은 ID 제휴를 사용하여 단기 사용자 인증 정보 가져오기를 참조하세요.

워크로드 아이덴티티 제휴와 함께 사용할 ID 공급업체 허용 목록

허용되지 않는 ID 공급업체를 워크로드 아이덴티티 풀 제공업체로 구성하려고 하면 다음 오류가 발생합니다.

FAILED_PRECONDITION: Precondition check failed.
- '@type': type.googleapis.com/google.rpc.PreconditionFailure
  violations:
  - description: "Org Policy violated for value: '{PROVIDER}'."
    subject: orgpolicy:projects/{PROJECT}/locations/global/workloadIdentityPools/{POOL}
    type: constraints/iam.workloadIdentityPoolProviders

이 문제를 해결하려면 ID 공급업체 구성 제한의 지침을 따라 워크로드 아이덴티티 제휴와 함께 사용할 ID 공급업체를 허용 목록에 추가합니다.

입력 JWK가 유효한 JSON 형식이 아님

OIDC 제공업체를 구성하는 중에 Input JWK is not in a valid json format 오류가 발생하는 경우 자체 서명 인증서로 보호된 엔드포인트가 Google Cloud에서 지원되지 않기 때문일 수 있습니다. 특히 x5cx5t 필드는 지원되지 않으며 OIDC JWK에서 삭제해야 합니다.

JWK 관련 문제를 해결하려면 다음을 수행합니다.

  1. JWK를 수정하고 x5c(X.509 인증서 체인) 및 x5t(X.509 인증서 SHA-1 지문) 필드를 삭제합니다.

    {
  "kty": "RSA",
  "use": "sig",
  "kid": "example-key-id",
  "alg": "RS256",
  "n": "base64url-modulus",
  "e": "AQAB"
}

  2. 나머지 JWK 필드가 OIDC 사양에 설명된 대로 적절한 형식인지 확인합니다.

  3. 업데이트된 JWK로 OIDC 제공업체를 구성합니다.

제공된 사용자 인증 정보 발급자에 연결하는 중 오류 발생

다음 오류는 Google Cloud 가 IdP의 OIDC 메타데이터 문서 또는 JWKS를 가져올 수 없기 때문에 발생할 수 있습니다.

{
  "error": "invalid_grant",
  "error_description":"Error connecting to the given credential's issuer."
 }

이 오류는 일반적으로 공개 인터넷에서 도달할 수 있도록 엔드포인트가 구성되지 않았기 때문에 발생합니다. 이 오류를 해결하려면 OIDC 엔드포인트를 공개적으로 사용할 수 있고 OIDC 사양을 준수하는지 확인합니다. 자세한 내용은 외부 ID 공급업체 준비를 참조하세요.

오류가 수신되면 토큰 발행자, 토큰의 iss 클레임이 올바른지 확인합니다.