Pour effectuer des requêtes HTTP authentifiées, votre workflow doit être associé à un compte de service (identifié par son adresse e-mail) disposant des identifiants appropriés. Pour savoir comment associer un compte de service Identity and Access Management (IAM) à un workflow et lui accorder les autorisations nécessaires pour accéder aux ressources, consultez la section Accorder à un workflow l'autorisation d'accéder aux ressources Google Cloud.
Jetons d'authentification
Pour des raisons de sécurité, les requêtes HTTP ne contiennent par défaut aucun jeton d'identité ou d'accès. Vous devez explicitement ajouter des informations d'authentification à votre définition de workflow.
Pour s'authentifier entre Workflows et une cible HTTP nécessitant une telle authentification, Workflows utilise un jeton dans l'en-tête d'autorisation en fonction des identifiants du compte de service associé au workflow, puis envoie le jeton via HTTPS au service cible. Lorsque vous vous connectez avec Cloud Functions ou Cloud Run, utilisez un jeton d'ID (OIDC). Pour les API hébergées sur googleapis.com
, utilisez un jeton d'accès (OAuth 2.0).
Pour effectuer une requête authentifiée à partir d'un workflow, effectuez l'une des opérations suivantes en fonction du service que vous appelez:
API externes : utilisez un en-tête de requête
Authorization
pour vous authentifier auprès d'une API tierce. Dans ce document, consultez la section Envoyer des requêtes authentifiées aux API externes.API Google Cloud : le cas échéant, utilisez un connecteur Workflows, qui fournit automatiquement l'authentification requise à l'aide du compte de service du workflow. Si vous ne pouvez pas utiliser de connecteur, exécutez une requête HTTP avec OAuth 2.0 pour vous connecter à d'autres API Google Cloud. Toute API qui se termine par le nom d'hôte
.googleapis.com
accepte cette méthode d'authentification. Dans ce document, consultez la page Envoyer des requêtes authentifiées aux API Google Cloud.Cloud Functions ou Cloud Run : utilisez OIDC pour vous connecter à Cloud Run ou Cloud Functions. Dans ce document, consultez la section Envoyer des requêtes à Cloud Run ou Cloud Functions.
Privé sur site, Compute Engine, Google Kubernetes Engine (GKE) ou d'autres points de terminaison Google Cloud : utilisez Identity-Aware Proxy (IAP) avec OIDC pour appliquer des stratégies de contrôle des accès à vos points de terminaison. Pour en savoir plus, consultez la section Appeler un point de terminaison privé sur site, Compute Engine, GKE ou un autre point de terminaison et découvrez comment vous authentifier auprès d'une ressource sécurisée par IAP à partir d'un utilisateur ou d'un compte de service.
Envoyer des requêtes authentifiées aux API externes
Si vous intégrez une API tierce, incluez un en-tête de requête Authorization
avec les identifiants nécessaires pour effectuer l'authentification. Par exemple, incluez un jeton d'ID dans un en-tête Authorization: Bearer ID_TOKEN
dans la requête adressée au service. Pour plus d'informations, consultez la documentation du fournisseur d'API.
Envoyer des requêtes authentifiées aux API Google Cloud
Le compte de service d'un workflow peut générer des jetons OAuth 2.0 que le workflow peut utiliser pour s'authentifier auprès de n'importe quelle API Google Cloud. Lorsque vous utilisez cette méthode d'authentification, le workflow s'authentifie en tant que compte de service associé. Pour effectuer une requête HTTP à l'aide du protocole OAuth 2.0, ajoutez une section auth
à la section args
de la définition de votre workflow, après avoir spécifié l'URL. Dans cet exemple, une requête est envoyée à l'API Compute Engine pour arrêter une VM:
YAML
- step_A: call: http.post args: url: https://compute.googleapis.com/compute/v1/projects/myproject1234/zones/us-central1-b/instances/myvm001/stop auth: type: OAuth2 scopes: OAUTH_SCOPE
JSON
[ { "step_A": { "call": "http.post", "args": { "url": "https://compute.googleapis.com/compute/v1/projects/myproject1234/zones/us-central1-b/instances/myvm001/stop", "auth": { "type": "OAuth2", "scopes": "OAUTH_SCOPE" } } } } ]
scopes
est facultative, mais elle peut être utilisée pour spécifier des champs d'application OAuth 2.0 pour le jeton. Remplacez OAUTH_SCOPE
par une chaîne ou une liste de chaînes. Les espaces et les chaînes séparées par une virgule sont également acceptés. Par défaut, la valeur est définie sur https://www.googleapis.com/auth/cloud-platform
.
Envoyer des requêtes à Cloud Functions ou Cloud Run
Lorsque vous envoyez des requêtes à Cloud Functions ou à Cloud Run, vous pouvez vous authentifier à l'aide d'OIDC.
Pour effectuer une requête HTTP à l'aide d'OIDC, ajoutez une section auth
à la section args
de la définition de votre workflow, après avoir spécifié l'URL. Dans cet exemple, une requête est envoyée pour appeler une fonction Cloud:
YAML
- step_A: call: http.get args: url: https://us-central1-project.cloudfunctions.net/functionA query: firstNumber: 4 secondNumber: 6 operation: sum auth: type: OIDC audience: OIDC_AUDIENCE
JSON
[ { "step_A": { "call": "http.get", "args": { "url": "https://us-central1-project.cloudfunctions.net/functionA", "query": { "firstNumber": 4, "secondNumber": 6, "operation": "sum" }, "auth": { "type": "OIDC", "audience": "OIDC_AUDIENCE" } } } } ]
audience
est facultative, mais elle peut être utilisée pour spécifier l'audience OIDC pour le jeton. Par défaut, OIDC_AUDIENCE
est défini sur la même valeur que url
.
Notez que Workflows peut appeler des services Cloud Functions ou Cloud Run dont l'entrée est limitée au trafic interne. Avec cette configuration, vos services sont inaccessibles depuis Internet, mais sont accessibles à partir de Workflows.
Pour en savoir plus, consultez la page Appeler Cloud Functions ou Cloud Run.