In diesem Dokument wird beschrieben, wie Sie sich mit Ihrer föderierten Identität über eine browserbasierte Anmeldung in der Google Cloud CLI anmelden.
Hinweise
Ihr Administrator muss die Mitarbeiteridentitätsföderation eingerichtet und konfiguriert haben.
Sie müssen Informationen haben, die eine der folgenden Optionen unterstützen. Ihr Administrator kann Ihnen diese Informationen zur Verfügung stellen.
IDs für Workforce Identity-Pool und -Anbieter: Eine ID für den Workforce Identity-Pool und eine ID für den Workforce Identity-Pool-Anbieter, die Sie zum Erstellen einer Anmeldekonfigurationsdatei verwenden können.
Vorhandene Konfigurationsdatei: ein Pfad zu einer vorhandenen Anmeldekonfigurationsdatei, mit der Sie sich in der gcloud CLI anmelden können.
Inhalt der Konfigurationsdatei: Inhalt der Konfigurationsdatei, den Sie in einer Konfigurationsdatei speichern können.
Konfigurationsdatei für die Anmeldung abrufen
In diesem Abschnitt wird beschrieben, wie Sie eine Anmeldekonfigurationsdatei abrufen, mit der Sie sich in der gcloud CLI anmelden können.
Konfigurationsdatei für die Anmeldung erstellen
Sie können die ID des Workload Identity-Pools und die ID des Workload Identity-Pool-Anbieters verwenden, um eine Anmeldekonfigurationsdatei zu erstellen.
Mit dem folgenden Befehl erstellen Sie die Konfigurationsdatei für die Anmeldung. Sie können die Datei optional als Standarddatei für die gcloud CLI aktivieren, indem Sie das Flag --activate hinzufügen. Anschließend können Sie gcloud auth login ausführen, ohne den Pfad der Konfigurationsdatei jedes Mal angeben zu müssen.
gcloud iam workforce-pools create-login-config \ locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \ --output-file=LOGIN_CONFIG_FILE_PATH
Ersetzen Sie Folgendes:
WORKFORCE_POOL_ID: die ID des Workforce-PoolsPROVIDER_ID: die Anbieter-IDLOGIN_CONFIG_FILE_PATH: ein Pfad zu einer von Ihnen angegebenen Konfigurationsdatei, z. B.login.json
Die Datei enthält die Endpunkte, die von der gcloud CLI verwendet werden, um den browserbasierten Authentifizierungsvorgang zu aktivieren und die Zielgruppe auf den IdP festzulegen, der im Anbieter des Personalidentitätspools konfiguriert wurde. Die Datei enthält keine vertraulichen Informationen.
Die Ausgabe sieht dann ungefähr so aus:
{ "type": "external_account_authorized_user_login_config", "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID", "auth_url": "https://auth.cloud.google/authorize", "token_url": "https://sts.googleapis.com/v1/oauthtoken", "token_info_url": "https://sts.googleapis.com/v1/introspect", }
Wenn Sie verhindern möchten, dass
gcloud auth login diese Konfigurationsdatei automatisch verwendet, können Sie sie mit dem Befehl gcloud config unset auth/login_config_file deaktivieren. Sie können sich jetzt in der gcloud CLI anmelden.
Konfigurationsdatei für die Anmeldung speichern
Sie können die Inhalte der Konfigurationsdatei für Anmeldedaten, die Ihnen zur Verfügung gestellt wurden, in einer Datei speichern. Notieren Sie sich den Pfad und melden Sie sich dann in der gcloud CLI an.
In der gcloud CLI anmelden
So melden Sie sich mit einer Anmeldekonfigurationsdatei in der gcloud CLI an:
gcloud auth login --login-config="LOGIN_CONFIG_FILE_PATH" Ersetzen Sie LOGIN_CONFIG_FILE_PATH durch den Pfad zur Anmeldekonfigurationsdatei, falls Sie diese Datei noch nicht aktiviert haben. Wenn Sie diese Datei jedoch bereits mit dem Flag --activate aktiviert haben, müssen Sie sie nicht noch einmal angeben. Führen Sie stattdessen den folgenden Befehl aus:
gcloud auth login