Um authentifizierte HTTP-Anfragen stellen zu können, muss Ihr Workflow mit einem Dienstkonto (identifiziert durch seine E-Mail-Adresse) mit den entsprechenden Anmeldedaten. Weitere Informationen zum Anhängen eines IAM-Dienstkontos (Identity and Access Management) an einen Workflow und zum Gewähren der erforderlichen Berechtigungen für den Zugriff auf Ressourcen finden Sie unter Workflowberechtigungen für den Zugriff auf Google Cloud-Ressourcen gewähren.
Authentifizierungs-Tokens
Aus Sicherheitsgründen enthalten HTTP-Anfragen standardmäßig keine Identitäts- oder Zugriffstokens Gründe haben. Sie müssen der Workflow-Definition explizit Authentifizierungsinformationen hinzufügen.
Für die Authentifizierung zwischen Workflows und einem HTTP-Ziel, für das eine solche Authentifizierung erforderlich ist, verwendet Workflows ein Token im Autorisierungsheader, das auf den Anmeldedaten des Dienstkontos basiert, das mit dem Workflow verknüpft ist. Das Token wird dann über HTTPS an den Zieldienst gesendet. Verwenden Sie zum Herstellen einer Verbindung zu Cloud Run-Funktionen oder Cloud Run ein ID-Token (OIDC). Für APIs, die auf
googleapis.com
, verwenden Sie eine
access token (OAuth 2.0).
Um eine authentifizierte Anfrage aus einem Workflow zu senden, führen Sie einen der abhängig von dem aufgerufenen Dienst:
Externe APIs: Verwenden Sie einen
Authorization
-Anfrageheader, um sich bei einer Drittanbieter-API zu authentifizieren. Weitere Informationen finden Sie in diesem Dokument unter Authentifizierte Anfragen an externe APIs senden.Google Cloud APIs: Verwenden Sie bei Verfügbarkeit einen Workflows-Connector, der die erforderliche Authentifizierung automatisch über das Dienstkonto des Workflows bereitstellt. Wenn Sie keine einen Connector, eine HTTP-Verbindung, -Anfrage mit OAuth 2.0, um eine Verbindung zu anderen Google Cloud APIs herzustellen. Beliebig Eine API, die mit dem Hostnamen
.googleapis.com
endet, akzeptiert diese Authentifizierung . In diesem Dokument wird auf Authentifizieren Sie Anfragen an Google Cloud APIs.Cloud Run-Funktionen oder Cloud Run: Verwenden Sie OIDC, um eine Verbindung zu Cloud Run oder Cloud Run-Funktionen herzustellen. Weitere Informationen finden Sie in diesem Dokument unter Anfragen an Cloud Run oder Cloud Run-Funktionen senden.
Private lokale, Compute Engine-, Google Kubernetes Engine (GKE-) oder andere Google Cloud-Endpunkte: Verwenden Sie Identity-Aware Proxy (IAP) mit OIDC, um Zugriffssteuerungsrichtlinien für Ihre Endpunkte durchzusetzen. Weitere Informationen finden Sie unter Privaten On-Premise-, Compute Engine-, GKE- oder anderen Endpunkt aufrufen und Informationen zum Authentifizieren bei einer IAP-geschützten Ressource über ein Nutzer- oder Dienstkonto.
Authentifizierte Anfragen an externe APIs senden
Wenn Sie eine API eines Drittanbieters einbinden, fügen Sie einen Authorization
-Anfrageheader mit den Anmeldedaten ein, die für die Authentifizierung erforderlich sind. Fügen Sie beispielsweise ein ID-Token in den Header Authorization: Bearer ID_TOKEN
der Anfrage an den Dienst ein. Weitere Informationen finden Sie in der Dokumentation des API-Anbieters.
Authentifizierte Anfragen an Google Cloud APIs stellen
Das Dienstkonto eines Workflows kann OAuth 2.0-Token generieren, mit dem sich der Workflow bei jeder Google Cloud API authentifizieren kann. Wenn Sie diese Authentifizierungsmethode verwenden, wird der Workflow als zugehöriges Dienstkonto authentifiziert. Um eine HTTP-Anfrage mit dem OAuth 2.0-Protokoll zu stellen, fügen Sie einen Abschnitt auth
zum Abschnitt args
der Workflow-Definition hinzu, nachdem Sie die URL angegeben haben. In diesem Beispiel wird eine Anfrage an die Compute Engine API gesendet, um
Mailboxnachricht:
YAML
- step_A: call: http.post args: url: https://compute.googleapis.com/compute/v1/projects/myproject1234/zones/us-central1-b/instances/myvm001/stop auth: type: OAuth2 scopes: OAUTH_SCOPE
JSON
[ { "step_A": { "call": "http.post", "args": { "url": "https://compute.googleapis.com/compute/v1/projects/myproject1234/zones/us-central1-b/instances/myvm001/stop", "auth": { "type": "OAuth2", "scopes": "OAUTH_SCOPE" } } } } ]
scopes
ist optional, kann aber verwendet werden, um OAuth 2.0-Bereiche für das Token anzugeben. Ersetzen Sie OAUTH_SCOPE
durch einen String oder eine Liste von Strings. Leerzeichen und kommagetrennte Strings
unterstützt. Standardmäßig ist der Wert auf
https://www.googleapis.com/auth/cloud-platform
Anfragen an Cloud Run-Funktionen oder Cloud Run senden
Verwenden Sie OIDC zur Authentifizierung von Anfragen an Cloud Run-Funktionen oder Cloud Run.
Um eine HTTP-Anfrage mit OIDC zu senden, fügen Sie den Abschnitt auth
in den Abschnitt args
der Workflowdefinition ein, nachdem Sie die URL angegeben haben. In diesem Beispiel wird eine Anfrage gesendet, um eine Cloud Run-Funktion aufzurufen:
YAML
- step_A: call: http.get args: url: https://us-central1-project.cloudfunctions.net/functionA query: firstNumber: 4 secondNumber: 6 operation: sum auth: type: OIDC audience: OIDC_AUDIENCE
JSON
[ { "step_A": { "call": "http.get", "args": { "url": "https://us-central1-project.cloudfunctions.net/functionA", "query": { "firstNumber": 4, "secondNumber": 6, "operation": "sum" }, "auth": { "type": "OIDC", "audience": "OIDC_AUDIENCE" } } } } ]
audience
ist optional, kann aber zum Angeben des OIDC-Codes verwendet werden
Zielgruppe für das Token. Standardmäßig ist OIDC_AUDIENCE
auf denselben Wert wie url
festgelegt.
Beachten Sie, dass Workflows Cloud Run-Funktionen oder Cloud Run-Dienste aufrufen können, die eingehenden Traffic auf internen Traffic beschränken. Mit dieser Konfiguration sind Ihre Dienste nicht über das Internet erreichbar, können aber über Workflows erreicht werden.
Weitere Informationen finden Sie unter Cloud Run-Funktionen oder Cloud Run aufrufen.