Realiza solicitudes autenticadas desde un flujo de trabajo

Para realizar solicitudes HTTP autenticadas, tu flujo de trabajo debe estar asociado con una cuenta de servicio (identificada por su dirección de correo electrónico) que tenga las credenciales adecuadas. Para obtener más información sobre cómo conectar una cuenta de servicio de Identity and Access Management (IAM) a un flujo de trabajo y otorgarle los permisos necesarios para acceder a los recursos, consulta Otorga permiso a un flujo de trabajo para acceder a recursos de Google Cloud.

Tokens de autenticación

De forma predeterminada, las solicitudes HTTP no contienen tokens de identidad ni de acceso por motivos de seguridad. Debes agregar información de autenticación de forma explícita a la definición de tu flujo de trabajo.

Para autenticarse entre Workflows y un destino HTTP que requiera dicha autenticación, Workflows usa un token en el encabezado de autorización según las credenciales de la cuenta de servicio adjunta al flujo de trabajo y lo envía a través de HTTPS al servicio de destino. Cuando te conectes con las funciones de Cloud Run o Cloud Run, usa un token de ID (OIDC). Para las APIs alojadas en googleapis.com, usa un token de acceso (OAuth 2.0).

Para realizar una solicitud autenticada desde un flujo de trabajo, haz una de las siguientes acciones según el servicio al que llames:

Realiza solicitudes autenticadas a APIs externas

Si integras una API de terceros, incluye un encabezado de solicitud Authorization con las credenciales necesarias para llevar a cabo la autenticación. Por ejemplo, incluye un token de ID en un encabezado Authorization: Bearer ID_TOKEN en la solicitud al servicio. Para obtener más información, consulta la documentación del proveedor de la API.

Realiza solicitudes autenticadas a las APIs de Google Cloud

La cuenta de servicio de un flujo de trabajo puede generar tokens de OAuth 2.0 que el flujo de trabajo puede para autenticarse en cualquier API de Google Cloud. Cuando uses esta método de autenticación, el flujo de trabajo se autentica como su servicio asociado de servicio predeterminada. Para realizar una solicitud HTTP con el protocolo OAuth 2.0, agrega una sección auth a la sección args de la definición de tu flujo de trabajo, después de especificar la URL. En este ejemplo, se envía una solicitud a la API de Compute Engine para detener una VM:

YAML

  - step_A:
      call: http.post
      args:
          url: https://compute.googleapis.com/compute/v1/projects/myproject1234/zones/us-central1-b/instances/myvm001/stop
          auth:
              type: OAuth2
              scopes: OAUTH_SCOPE
    

JSON

    [
      {
        "step_A": {
          "call": "http.post",
          "args": {
            "url": "https://compute.googleapis.com/compute/v1/projects/myproject1234/zones/us-central1-b/instances/myvm001/stop",
            "auth": {
              "type": "OAuth2",
              "scopes": "OAUTH_SCOPE"
            }
          }
        }
      }
    ]
      
La clave scopes es opcional, pero se puede usar para especificar OAuth 2.0. los permisos del token. Reemplaza OAUTH_SCOPE por una cadena o una lista de cadenas. También se admiten cadenas separadas por espacios y comas. De forma predeterminada, el valor se establece en https://www.googleapis.com/auth/cloud-platform.

Realizar solicitudes a funciones de Cloud Run o a Cloud Run

Cuando realices solicitudes a funciones de Cloud Run o a Cloud Run, usa OIDC para la autenticación.

Para realizar una solicitud HTTP con OIDC, agrega una sección auth a la sección args de la definición de tu flujo de trabajo, después de que especifiques la URL. En este ejemplo, un para invocar una función de Cloud Run:

YAML

  - step_A:
      call: http.get
      args:
          url: https://us-central1-project.cloudfunctions.net/functionA
          query:
              firstNumber: 4
              secondNumber: 6
              operation: sum
          auth:
              type: OIDC
              audience: OIDC_AUDIENCE
    

JSON

    [
      {
        "step_A": {
          "call": "http.get",
          "args": {
            "url": "https://us-central1-project.cloudfunctions.net/functionA",
            "query": {
              "firstNumber": 4,
              "secondNumber": 6,
              "operation": "sum"
            },
            "auth": {
              "type": "OIDC",
              "audience": "OIDC_AUDIENCE"
            }
          }
        }
      }
    ]
      
La clave audience es opcional, pero se puede usar para especificar el público de OIDC del token. De forma predeterminada, OIDC_AUDIENCE se establece en el mismo valor que url.

Ten en cuenta que Workflows puede invocar funciones o servicios de Cloud Run que tengan la entrada restringida al tráfico interno. Con esta configuración, tus servicios se inaccesible desde Internet, pero se puede acceder a ella desde Workflows.

Para obtener más información, consulta Cómo invocar funciones de Cloud Run o Cloud Run.

¿Qué sigue?