Puoi richiamare un endpoint privato on-premise, Compute Engine, Google Kubernetes Engine (GKE) o un altro Google Cloud da Workflows attivando Identity-Aware Proxy (IAP) per l'endpoint. IAP viene utilizzato per applicare i criteri di controllo dell'accesso e consente di stabilire un livello di autorizzazione centrale per le applicazioni accessibili tramite HTTPS, in modo da poter utilizzare un modello di controllo dell'accesso a livello di applicazione anziché fare affidamento su firewall a livello di rete. Per ulteriori informazioni, consulta la panoramica di IAP e quanto segue:
- Abilita IAP per App Engine
- Attivare IAP per Cloud Run
- Abilita IAP per Compute Engine
- Abilita IAP per GKE
- Attivare gli acquisti in-app per le app on-premise
In alternativa, puoi scegliere come target un endpoint privato per le chiamate HTTP dall'esecuzione del flusso di lavoro utilizzando il registry dei servizi di Service Directory con Workflows. Creando un endpoint privato all'interno di una rete Virtual Private Cloud (VPC), l'endpoint può essere conforme a VPC Service Controls. Per ulteriori informazioni, consulta Eseguire l'invocazione di un endpoint privato conforme a VPC Service Controls.
Fai una richiesta HTTP
La chiamata o l'invocazione di un endpoint privato da Workflows avviene tramite una richiesta HTTP. I metodi di richiesta HTTP più comuni hanno una scorciatoia per le chiamate (ad esempio http.get e http.post), ma puoi effettuare qualsiasi tipo di richiesta HTTP impostando il campo call
su http.request
e specificando il tipo di richiesta utilizzando il campo method
. Per maggiori informazioni, consulta Eseguire una richiesta HTTP.
Utilizza un account di servizio con le autorizzazioni richieste
Quando effettui richieste ad altri Google Cloud servizi, il flusso di lavoro deve essere associato a un account di servizio a cui sono stati concessi uno o più ruoli IAM (Identity and Access Management) contenenti le autorizzazioni necessarie per accedere alle risorse richieste. Per sapere quale account di servizio è associato a un flusso di lavoro esistente, consulta Verificare l'account di servizio associato a un flusso di lavoro.
Quando configuri un account di servizio, associ l'identità richiedente alla risorsa a cui vuoi concederle l'accesso, ovvero la rendi un principale o un utente della risorsa, quindi le assegni il ruolo appropriato. Il ruolo definisce le autorizzazioni di cui dispone l'identità nel contesto della risorsa. Quando un'applicazione o una risorsa è protetta da IAP, solo le entità con il ruolo corretto possono accedervi tramite il proxy.
Ad esempio, dopo l'autenticazione, IAP applica il criterio di autorizzazione pertinente per verificare se l'entità è autorizzata ad accedere alla risorsa richiesta. Se l'entità dispone del ruolo Utente di app web protetta da IAP (roles/iap.httpsResourceAccessor
) nel progetto della console Google Cloud in cui esiste la risorsa, è autorizzata ad accedere all'applicazione.
Puoi configurare l'accesso alla risorsa protetta da IAP tramite la pagina IAP aggiungendo l'account di servizio Workflows come entità. Per ulteriori informazioni, consulta Gestire l'accesso alle risorse protette da IAP.
Aggiungere informazioni di autenticazione al flusso di lavoro
Per impostazione predefinita, le richieste HTTP non contengono token di identità o di accesso per motivi di sicurezza. Devi aggiungere esplicitamente le informazioni di autenticazione alla definizione del flusso di lavoro. Quando effettui richieste a un endpoint privato, utilizza OIDC per autenticarti tramite IAP.
Per effettuare una richiesta HTTP utilizzando OIDC, aggiungi una sezione auth
alla sezione args
della definizione del flusso di lavoro dopo aver specificato l'URL.
YAML
- step_A: call: http.get args: url: https://www.example.com/endpoint body: someValue: "Hello World" anotherValue: 123 auth: type: OIDC audience: OIDC_AUDIENCE
JSON
[ { "step_A": { "call": "http.get", "args": { "url": "https://www.example.com/endpoint", "body": { "someValue": "Hello World", "anotherValue": 123 }, "auth": { "type": "OIDC", "audience": "OIDC_AUDIENCE" } } } } ]
Puoi utilizzare il parametro audience
per specificare il segmento di pubblico OIDC per il token.
Quando richiami un endpoint abilitato per gli acquisti in-app, devi specificare l'ID client OAuth 2.0 che hai configurato per la tua applicazione. Puoi recuperarla dalla pagina Credenziali.
Passaggi successivi
- Concedere un'autorizzazione di flusso di lavoro per accedere alle Google Cloud risorse
- Accedere ai dati della risposta HTTP salvati in una variabile