Authentifizierte Anfragen von einem Workflow aus ausführen

Um authentifizierte HTTP-Anfragen stellen zu können, muss Ihr Workflow mit einem Dienstkonto (identifiziert durch seine E-Mail-Adresse) mit den entsprechenden Anmeldedaten. Weitere Informationen zum Anhängen eines IAM-Dienstkontos (Identity and Access Management) an einen Workflow und zum Gewähren der erforderlichen Berechtigungen für den Zugriff auf Ressourcen finden Sie unter Workflowberechtigungen für den Zugriff auf Google Cloud-Ressourcen gewähren.

Authentifizierungs-Tokens

Aus Sicherheitsgründen enthalten HTTP-Anfragen standardmäßig keine Identitäts- oder Zugriffstokens Gründe haben. Sie müssen der Workflow-Definition explizit Authentifizierungsinformationen hinzufügen.

Für die Authentifizierung zwischen Workflows und einem HTTP-Ziel, für das eine solche Authentifizierung erforderlich ist, verwendet Workflows ein Token im Autorisierungsheader, das auf den Anmeldedaten des Dienstkontos basiert, das mit dem Workflow verknüpft ist. Das Token wird dann über HTTPS an den Zieldienst gesendet. Verwenden Sie zum Herstellen einer Verbindung zu Cloud Run-Funktionen oder Cloud Run ein ID-Token (OIDC). Für APIs, die auf googleapis.com, verwenden Sie eine access token (OAuth 2.0).

Um eine authentifizierte Anfrage aus einem Workflow zu senden, führen Sie einen der abhängig von dem aufgerufenen Dienst:

Authentifizierte Anfragen an externe APIs senden

Wenn Sie eine API eines Drittanbieters einbinden, fügen Sie einen Authorization-Anfrageheader mit den Anmeldedaten ein, die für die Authentifizierung erforderlich sind. Fügen Sie beispielsweise ein ID-Token in den Header Authorization: Bearer ID_TOKEN der Anfrage an den Dienst ein. Weitere Informationen finden Sie in der Dokumentation des API-Anbieters.

Authentifizierte Anfragen an Google Cloud APIs stellen

Das Dienstkonto eines Workflows kann OAuth 2.0-Token generieren, mit dem sich der Workflow bei jeder Google Cloud API authentifizieren kann. Wenn Sie diese Authentifizierungsmethode verwenden, wird der Workflow als zugehöriges Dienstkonto authentifiziert. Um eine HTTP-Anfrage mit dem OAuth 2.0-Protokoll zu stellen, fügen Sie einen Abschnitt auth zum Abschnitt args der Workflow-Definition hinzu, nachdem Sie die URL angegeben haben. In diesem Beispiel wird eine Anfrage an die Compute Engine API gesendet, um Mailboxnachricht:

YAML

  - step_A:
      call: http.post
      args:
          url: https://compute.googleapis.com/compute/v1/projects/myproject1234/zones/us-central1-b/instances/myvm001/stop
          auth:
              type: OAuth2
              scopes: OAUTH_SCOPE
    

JSON

    [
      {
        "step_A": {
          "call": "http.post",
          "args": {
            "url": "https://compute.googleapis.com/compute/v1/projects/myproject1234/zones/us-central1-b/instances/myvm001/stop",
            "auth": {
              "type": "OAuth2",
              "scopes": "OAUTH_SCOPE"
            }
          }
        }
      }
    ]
      
Der Schlüssel scopes ist optional, kann aber verwendet werden, um OAuth 2.0-Bereiche für das Token anzugeben. Ersetzen Sie OAUTH_SCOPE durch einen String oder eine Liste von Strings. Leerzeichen und kommagetrennte Strings unterstützt. Standardmäßig ist der Wert auf https://www.googleapis.com/auth/cloud-platform

Anfragen an Cloud Run-Funktionen oder Cloud Run senden

Verwenden Sie OIDC zur Authentifizierung von Anfragen an Cloud Run-Funktionen oder Cloud Run.

Um eine HTTP-Anfrage mit OIDC zu senden, fügen Sie den Abschnitt auth in den Abschnitt args der Workflowdefinition ein, nachdem Sie die URL angegeben haben. In diesem Beispiel wird eine Anfrage gesendet, um eine Cloud Run-Funktion aufzurufen:

YAML

  - step_A:
      call: http.get
      args:
          url: https://us-central1-project.cloudfunctions.net/functionA
          query:
              firstNumber: 4
              secondNumber: 6
              operation: sum
          auth:
              type: OIDC
              audience: OIDC_AUDIENCE
    

JSON

    [
      {
        "step_A": {
          "call": "http.get",
          "args": {
            "url": "https://us-central1-project.cloudfunctions.net/functionA",
            "query": {
              "firstNumber": 4,
              "secondNumber": 6,
              "operation": "sum"
            },
            "auth": {
              "type": "OIDC",
              "audience": "OIDC_AUDIENCE"
            }
          }
        }
      }
    ]
      
Der Schlüssel audience ist optional, kann aber zum Angeben des OIDC-Codes verwendet werden Zielgruppe für das Token. Standardmäßig ist OIDC_AUDIENCE auf denselben Wert wie url festgelegt.

Beachten Sie, dass Workflows Cloud Run-Funktionen oder Cloud Run-Dienste aufrufen können, die eingehenden Traffic auf internen Traffic beschränken. Mit dieser Konfiguration sind Ihre Dienste nicht über das Internet erreichbar, können aber über Workflows erreicht werden.

Weitere Informationen finden Sie unter Cloud Run-Funktionen oder Cloud Run aufrufen.

Nächste Schritte