Damit Sie authentifizierte HTTP-Anfragen senden können, muss Ihr Workflow mit einem Dienstkonto (anhand der E-Mail-Adresse) verknüpft sein, das die entsprechenden Anmeldeinformationen hat. Weitere Informationen zum Anhängen eines IAM-Dienstkontos (Identity and Access Management) an einen Workflow und zum Gewähren der erforderlichen Berechtigungen für den Zugriff auf Ressourcen finden Sie unter Workflowberechtigungen für den Zugriff auf Google Cloud-Ressourcen gewähren.
Authentifizierungs-Tokens
Standardmäßig enthalten HTTP-Anfragen aus Sicherheitsgründen keine Identitäts- oder Zugriffstokens. Sie müssen der Workflow-Definition explizit Authentifizierungsinformationen hinzufügen.
Für die Authentifizierung zwischen Workflows und einem HTTP-Ziel, für das eine solche Authentifizierung erforderlich ist, verwendet Workflows ein Token im Autorisierungsheader, das auf den Anmeldedaten des Dienstkontos basiert, das mit dem Workflow verknüpft ist. Das Token wird dann über HTTPS an den Zieldienst gesendet. Verwenden Sie zum Herstellen einer Verbindung zu Cloud Run-Funktionen oder Cloud Run ein ID-Token (OIDC). Verwenden Sie für APIs, die auf googleapis.com gehostet werden, ein Zugriffstoken (OAuth 2.0).
Um eine authentifizierte Anfrage innerhalb eines Workflows zu senden, gehen Sie je nach aufgerufenem Dienst so vor:
Externe APIs: Verwenden Sie einen
Authorization-Anfrageheader, um sich bei einer Drittanbieter-API zu authentifizieren. Weitere Informationen finden Sie in diesem Dokument unter Authentifizierte Anfragen an externe APIs senden.Google Cloud APIs: Verwenden Sie bei Verfügbarkeit einen Workflows-Connector, der die erforderliche Authentifizierung automatisch über das Dienstkonto des Workflows bereitstellt. Wenn Sie keinen Connector verwenden können, verwenden Sie eine HTTP-Anfrage mit OAuth 2.0, um eine Verbindung zu anderen Google Cloud APIs herzustellen. Jede API, die mit dem Hostnamen
.googleapis.comendet, akzeptiert diese Authentifizierungsmethode. Weitere Informationen finden Sie in diesem Dokument unter Authentifizierte Anfragen an Google Cloud APIs stellen.Cloud Run Functions oder Cloud Run: Verwenden Sie OIDC, um eine Verbindung zu Cloud Run oder Cloud Run Functions herzustellen. Weitere Informationen finden Sie in diesem Dokument unter Anfragen an Cloud Run oder Cloud Run-Funktionen senden.
Private lokale, Compute Engine-, Google Kubernetes Engine (GKE-) oder andere Google Cloud-Endpunkte: Verwenden Sie Identity-Aware Proxy (IAP) mit OIDC, um Zugriffssteuerungsrichtlinien für Ihre Endpunkte durchzusetzen. Weitere Informationen finden Sie unter Privaten On-Premise-, Compute Engine-, GKE- oder anderen Endpunkt aufrufen und Informationen zum Authentifizieren bei einer IAP-geschützten Ressource über ein Nutzer- oder Dienstkonto.
Authentifizierte Anfragen an externe APIs senden
Wenn Sie eine API eines Drittanbieters einbinden, fügen Sie einen Authorization-Anfrageheader mit den Anmeldedaten ein, die für die Authentifizierung erforderlich sind. Fügen Sie beispielsweise ein ID-Token in den Header Authorization: Bearer ID_TOKEN der Anfrage an den Dienst ein. Weitere Informationen finden Sie in der Dokumentation des API-Anbieters.
Authentifizierte Anfragen an Google Cloud APIs stellen
Das Dienstkonto eines Workflows kann OAuth 2.0-Token generieren, mit dem sich der Workflow bei jeder Google Cloud API authentifizieren kann. Wenn Sie diese Authentifizierungsmethode verwenden, wird der Workflow als zugehöriges Dienstkonto authentifiziert. Um eine HTTP-Anfrage mit dem OAuth 2.0-Protokoll zu stellen, fügen Sie einen Abschnitt auth zum Abschnitt args der Workflow-Definition hinzu, nachdem Sie die URL angegeben haben. In diesem Beispiel wird eine Anfrage an die Compute Engine API gesendet, um eine VM zu beenden:
YAML
- step_A: call: http.post args: url: https://compute.googleapis.com/compute/v1/projects/myproject1234/zones/us-central1-b/instances/myvm001/stop auth: type: OAuth2 scopes: OAUTH_SCOPE
JSON
[ { "step_A": { "call": "http.post", "args": { "url": "https://compute.googleapis.com/compute/v1/projects/myproject1234/zones/us-central1-b/instances/myvm001/stop", "auth": { "type": "OAuth2", "scopes": "OAUTH_SCOPE" } } } } ]
scopes ist optional, kann aber verwendet werden, um OAuth 2.0-Bereiche für das Token anzugeben. Ersetzen Sie OAUTH_SCOPE durch einen String oder eine Liste von Strings. Leerzeichen- und kommagetrennte Strings werden ebenfalls unterstützt. Standardmäßig ist der Wert auf https://www.googleapis.com/auth/cloud-platform gesetzt.
Anfragen an Cloud Run Functions oder Cloud Run senden
Verwenden Sie OIDC zur Authentifizierung von Anfragen an Cloud Run-Funktionen oder Cloud Run.
Um eine HTTP-Anfrage mit OIDC zu senden, fügen Sie den Abschnitt auth in den Abschnitt args der Workflowdefinition ein, nachdem Sie die URL angegeben haben. In diesem Beispiel wird eine Anfrage gesendet, um eine Cloud Run-Funktion aufzurufen:
YAML
- step_A: call: http.get args: url: https://us-central1-project.cloudfunctions.net/functionA query: firstNumber: 4 secondNumber: 6 operation: sum auth: type: OIDC audience: OIDC_AUDIENCE
JSON
[ { "step_A": { "call": "http.get", "args": { "url": "https://us-central1-project.cloudfunctions.net/functionA", "query": { "firstNumber": 4, "secondNumber": 6, "operation": "sum" }, "auth": { "type": "OIDC", "audience": "OIDC_AUDIENCE" } } } } ]
audience ist optional, kann aber verwendet werden, um die OIDC-Zielgruppe für das Token anzugeben. Standardmäßig ist OIDC_AUDIENCE auf denselben Wert wie url festgelegt.
Beachten Sie, dass Workflows Cloud Run-Funktionen oder Cloud Run-Dienste aufrufen können, die eingehenden Traffic auf internen Traffic beschränken. Mit dieser Konfiguration sind Ihre Dienste nicht über das Internet erreichbar, können aber über Workflows erreicht werden.
Weitere Informationen finden Sie unter Cloud Run-Funktionen oder Cloud Run aufrufen.