Para fazer solicitações HTTP autenticadas, seu fluxo de trabalho precisa estar associado a uma conta de serviço (identificada pelo endereço de e-mail) que tenha as credenciais apropriadas. Para mais informações sobre como anexar uma conta de serviço do Identity and Access Management (IAM) a um fluxo de trabalho e conceder a ela as permissões necessárias para acessar recursos, consulte Conceder a um fluxo de trabalho permissão para acessar recursos do Google Cloud.
Tokens de autenticação
Por padrão, as solicitações HTTP não contêm tokens de identidade ou acesso por motivos de segurança. É necessário adicionar as informações de autenticação à definição do fluxo de trabalho explicitamente.
Para autenticar entre o Workflows e um destino HTTP que requer essa
autenticação, o Workflows usa um token no cabeçalho
de autorização com base nas credenciais da conta de serviço anexada ao fluxo de trabalho
e envia o token usando HTTPS para o serviço de destino. Ao se conectar com o
Cloud Functions ou o Cloud Run, use um
token de ID (OIDC). Para APIs hospedadas em
googleapis.com
, use um
token de acesso (OAuth 2.0).
Para fazer uma solicitação autenticada em um fluxo de trabalho, siga um destes procedimentos, dependendo do serviço que você estiver chamando:
APIs externas: use um cabeçalho de solicitação
Authorization
para autenticar com uma API de terceiros. Neste documento, consulte Fazer solicitações autenticadas para APIs externas.APIs do Google Cloud: se disponível, use um conector do Workflows, que fornece automaticamente a autenticação necessária usando a conta de serviço do fluxo de trabalho. Se não for possível usar um conector, use uma solicitação HTTP com o OAuth 2.0 para se conectar a outras APIs do Google Cloud. Qualquer API que termine com o nome do host
.googleapis.com
aceita esse método de autenticação. Neste documento, consulte Como fazer solicitações autenticadas às APIs do Google Cloud.Cloud Functions ou Cloud Run: use o OIDC para se conectar ao Cloud Run ou ao Cloud Functions. Neste documento, consulte Fazer solicitações ao Cloud Run ou ao Cloud Functions.
Particular no local, Compute Engine, Google Kubernetes Engine (GKE) ou outros endpoints do Google Cloud: use o Identity-Aware Proxy (IAP) com OIDC para aplicar políticas de controle de acesso aos endpoints. Para mais informações, consulte Invocar o local privado, o Compute Engine, o GKE ou outro endpoint e aprenda a se autenticar em um recurso protegido pelo IAP usando um usuário ou uma conta de serviço.
Fazer solicitações autenticadas para APIs externas
Se você estiver integrando uma API de terceiros, inclua um cabeçalho de solicitação
Authorization
com as credenciais necessárias para executar a autenticação. Por
exemplo, inclua um token de ID em um cabeçalho
Authorization: Bearer ID_TOKEN
na solicitação para
o serviço. Para saber mais, consulte a documentação do provedor da API.
Fazer solicitações autenticadas para as APIs Google Cloud
A conta de serviço de um fluxo de trabalho pode gerar tokens OAuth 2.0 que o fluxo de trabalho pode
usar para autenticar em qualquer API do Google Cloud. Quando você usa esse
método de autenticação, a conta de serviço associada é autenticada
pelo fluxo de trabalho. Para fazer uma solicitação HTTP usando o protocolo OAuth 2.0, adicione uma seção auth
à seção args
da definição do fluxo de trabalho, depois de especificar
o URL. Neste exemplo, uma solicitação é enviada à API Compute Engine para interromper uma
VM:
YAML
- step_A: call: http.post args: url: https://compute.googleapis.com/compute/v1/projects/myproject1234/zones/us-central1-b/instances/myvm001/stop auth: type: OAuth2 scopes: OAUTH_SCOPE
JSON
[ { "step_A": { "call": "http.post", "args": { "url": "https://compute.googleapis.com/compute/v1/projects/myproject1234/zones/us-central1-b/instances/myvm001/stop", "auth": { "type": "OAuth2", "scopes": "OAUTH_SCOPE" } } } } ]
scopes
é opcional, mas pode ser usada para especificar os escopos do OAuth 2.0 para o token. Substitua OAUTH_SCOPE
por uma
string ou lista de strings. Strings separadas por espaço e por vírgula também são
aceitas. Por padrão, o valor é definido como
https://www.googleapis.com/auth/cloud-platform
.
Fazer solicitações para o Cloud Functions ou o Cloud Run
Ao fazer solicitações ao Cloud Functions ou ao Cloud Run, use o OIDC para fazer a autenticação.
Para fazer uma solicitação HTTP usando o OIDC, adicione uma seção auth
à seção args
da definição do fluxo de trabalho, depois de especificar o URL. Neste exemplo, uma
solicitação é enviada para invocar uma função do Cloud:
YAML
- step_A: call: http.get args: url: https://us-central1-project.cloudfunctions.net/functionA query: firstNumber: 4 secondNumber: 6 operation: sum auth: type: OIDC audience: OIDC_AUDIENCE
JSON
[ { "step_A": { "call": "http.get", "args": { "url": "https://us-central1-project.cloudfunctions.net/functionA", "query": { "firstNumber": 4, "secondNumber": 6, "operation": "sum" }, "auth": { "type": "OIDC", "audience": "OIDC_AUDIENCE" } } } } ]
audience
é opcional, mas pode ser usada para especificar o público-alvo
do OIDC para o token. Por padrão, OIDC_AUDIENCE
é definido
com o mesmo valor que url
.
É possível que o Workflows invoque os serviços do Cloud Functions ou do Cloud Run que tenham entrada restrita ao tráfego interno. Com essa configuração, seus serviços não podem ser acessados pela Internet, mas podem ser acessados pelo Workflows.
Para mais informações, consulte Invocar o Cloud Functions ou o Cloud Run.