本页面介绍了一些常见工作负载身份联合错误的解决方法。
Google Cloud API 不接受从 SecurityTokenService 颁发的凭据
SecurityTokenService API 返回的访问令牌是联合访问令牌。虽然大多数 Google Cloud API 都支持身份联合,但某些 API 方法可能会受到限制。如需查看限制列表,请参阅身份联合:产品和限制。
如果您遇到以下错误,可能是因为您尝试将联合访问令牌用于不支持此类令牌的服务。
{
"error": {
"code": 401,
"message": "Request had invalid authentication credentials. Expected OAuth 2 access token, login cookie or other valid authentication credential. See https://developers.google.com/identity/sign-in/web/devconsole-project.",
"status": "UNAUTHENTICATED",
}
}
如需消除此错误,请通过调用 GenerateAccessToken 将联合访问令牌交换为不受限制的访问令牌。如需了解详情,请参阅使用身份联合获取短期有效的凭据。
将身份提供方列入许可名单以与工作负载身份联合搭配使用
如果您尝试将不允许的身份提供商配置为工作负载身份池提供商,则会遇到以下错误:
FAILED_PRECONDITION: Precondition check failed.
- '@type': type.googleapis.com/google.rpc.PreconditionFailure
violations:
- description: "Org Policy violated for value: '{PROVIDER}'."
subject: orgpolicy:projects/{PROJECT}/locations/global/workloadIdentityPools/{POOL}
type: constraints/iam.workloadIdentityPoolProviders
如需解决此问题,请按照限制身份提供方配置中的说明将身份提供方列入许可名单,以便与工作负载身份联合搭配使用。
输入 JWK 不是有效的 JSON 格式
如果您在配置 OIDC 提供方时收到 Input JWK is
not in a valid json format 错误,可能是因为 Google Cloud不支持使用自签名证书保护的端点。具体而言,不支持 x5c 和 x5t 字段,必须将其从 OIDC JWK 中移除。
如需解决 JWK 的问题,请执行以下操作:
修改 JWK,并移除
x5c(X.509 证书链)和x5t(X.509 证书 SHA-1 指纹)字段。{ "kty": "RSA", "use": "sig", "kid": "example-key-id", "alg": "RS256", "n": "base64url-modulus", "e": "AQAB" }验证其余 JWK 字段的格式是否正确,如 OIDC 规范中所述。
使用更新后的 JWK 配置 OIDC 提供方。
连接到给定凭据的颁发者时出错
如果您收到以下错误,可能是因为 Google Cloud 无法提取 IdP 的 OIDC 元数据文档或 JWKS:
{
"error": "invalid_grant",
"error_description":"Error connecting to the given credential's issuer."
}
发生此错误的原因通常是端点未配置为可通过公共互联网访问。如需消除此错误,请检查 OIDC 端点是否公开可用并且符合 OIDC 规范。如需了解详情,请参阅准备外部身份提供方。
如果您仍然遇到错误,请检查令牌颁发者(令牌的 iss 声明)是否正确。