Pour effectuer des requêtes HTTP authentifiées, votre workflow doit être associé à un compte de service (identifié par son adresse e-mail) disposant des identifiants appropriés. Pour en savoir plus sur l'association d'un compte de service IAM (Identity and Access Management) à un workflow et sur l'octroi des autorisations requises pour accéder aux ressources, consultez la section Accorder à un workflow l'autorisation d'accéder aux ressources Google Cloud.
Jetons d'authentification
Par défaut, les requêtes HTTP ne contiennent pas de jetons d'identité ou d'accès pour des raisons de sécurité. Vous devez explicitement ajouter des informations d'authentification à votre définition de workflow.
Pour s'authentifier entre Workflows et une cible HTTP qui nécessite une telle authentification, Workflows utilise un jeton dans l'en-tête d'autorisation basé sur les identifiants du compte de service associé au workflow, et envoie le jeton via HTTPS au service cible. Lorsque vous vous connectez à des fonctions Cloud Run ou à Cloud Run, utilisez un jeton d'ID (OIDC). Pour les API hébergées sur googleapis.com, utilisez un jeton d'accès (OAuth 2.0).
Pour effectuer une requête authentifiée à partir d'un workflow, effectuez l'une des opérations suivantes en fonction du service que vous appelez:
API externes : utilisez un en-tête de requête
Authorizationpour vous authentifier auprès d'une API tierce. Dans ce document, consultez la section Envoyer des requêtes authentifiées aux API externes.API Google Cloud : si disponible, utilisez un connecteur Workflows, qui fournit automatiquement l'authentification requise à l'aide du compte de service du workflow. Si vous ne pouvez pas utiliser de connecteur, utilisez une requête HTTP avec OAuth 2.0 pour vous connecter à d'autres API Google Cloud. Toute API qui se termine par un nom d'hôte
.googleapis.comaccepte cette méthode d'authentification. Dans ce document, consultez la section Envoyer des requêtes authentifiées aux API Google Cloud.Fonctions Cloud Run ou Cloud Run : utilisez OIDC pour vous connecter à Cloud Run ou aux fonctions Cloud Run. Dans ce document, consultez la section Envoyer des requêtes à Cloud Run ou à des fonctions Cloud Run.
Sur site privé, Compute Engine, Google Kubernetes Engine (GKE) ou autres points de terminaison Google Cloud : utilisez Identity-Aware Proxy (IAP) avec OIDC pour appliquer des règles de contrôle des accès à vos points de terminaison. Pour en savoir plus, consultez Appeler un point de terminaison privé sur site, Compute Engine, GKE ou autre et découvrez comment vous authentifier auprès d'une ressource sécurisée par IAP à partir d'un compte utilisateur ou de service.
Envoyer des requêtes authentifiées aux API externes
Si vous intégrez une API tierce, incluez un en-tête de requête Authorization avec les identifiants nécessaires pour effectuer l'authentification. Par exemple, incluez un jeton d'ID dans un en-tête Authorization: Bearer ID_TOKEN dans la requête adressée au service. Pour plus d'informations, consultez la documentation du fournisseur d'API.
Envoyer des requêtes authentifiées aux API Google Cloud
Le compte de service d'un workflow peut générer des jetons OAuth 2.0 que le workflow peut utiliser pour s'authentifier auprès de n'importe quelle API Google Cloud. Lorsque vous utilisez cette méthode d'authentification, le workflow s'authentifie en tant que compte de service associé. Pour effectuer une requête HTTP à l'aide du protocole OAuth 2.0, ajoutez une section auth à la section args de la définition de votre workflow, après avoir spécifié l'URL. Dans cet exemple, une requête est envoyée à l'API Compute Engine pour arrêter une VM:
YAML
- step_A: call: http.post args: url: https://compute.googleapis.com/compute/v1/projects/myproject1234/zones/us-central1-b/instances/myvm001/stop auth: type: OAuth2 scopes: OAUTH_SCOPE
JSON
[ { "step_A": { "call": "http.post", "args": { "url": "https://compute.googleapis.com/compute/v1/projects/myproject1234/zones/us-central1-b/instances/myvm001/stop", "auth": { "type": "OAuth2", "scopes": "OAUTH_SCOPE" } } } } ]
scopes est facultative, mais peut être utilisée pour spécifier les champs d'application OAuth 2.0 pour le jeton. Remplacez OAUTH_SCOPE par une chaîne ou une liste de chaînes. Les chaînes séparées par des espaces et des virgules sont également acceptées. Par défaut, la valeur est définie sur https://www.googleapis.com/auth/cloud-platform.
Envoyer des requêtes à des fonctions Cloud Run ou à Cloud Run
Lorsque vous envoyez des requêtes à des fonctions Cloud Run ou à Cloud Run, utilisez OIDC pour l'authentification.
Pour effectuer une requête HTTP à l'aide d'OIDC, ajoutez une section auth à la section args de la définition de votre workflow, après avoir spécifié l'URL. Dans cet exemple, une requête est envoyée pour appeler une fonction Cloud Run:
YAML
- step_A: call: http.get args: url: https://us-central1-project.cloudfunctions.net/functionA query: firstNumber: 4 secondNumber: 6 operation: sum auth: type: OIDC audience: OIDC_AUDIENCE
JSON
[ { "step_A": { "call": "http.get", "args": { "url": "https://us-central1-project.cloudfunctions.net/functionA", "query": { "firstNumber": 4, "secondNumber": 6, "operation": "sum" }, "auth": { "type": "OIDC", "audience": "OIDC_AUDIENCE" } } } } ]
audience est facultative, mais peut être utilisée pour spécifier l'audience OIDC du jeton. Par défaut, OIDC_AUDIENCE est défini sur la même valeur que url.
Notez qu'il est possible que Workflows appelle des fonctions Cloud Run ou des services Cloud Run dont l'entrée est limitée au trafic interne. Avec cette configuration, vos services sont inaccessibles depuis Internet, mais peuvent être accessibles à partir de Workflows.
Pour en savoir plus, consultez la page Appeler des fonctions Cloud Run ou Cloud Run.