In diesem Dokument wird beschrieben, wie Sie sich mit Ihrer föderierten Identität über eine browserbasierte Anmeldung in der Google Cloud CLI anmelden.
Hinweis
Achten Sie darauf, dass Ihr Administrator die Mitarbeiteridentitätsföderation eingerichtet und konfiguriert hat.
Sie benötigen Informationen, die eine der folgenden Optionen unterstützen. Diese Informationen können Sie von Ihrem Administrator erhalten. Wenn Sie ein Administrator sind, können Sie Workforce-Pools und -Anbieter auflisten , um diese IDs zu finden.
IDs für Workforce Identity-Pool und -Anbieter: eine ID für einen Workforce Identity-Pool und eine ID für einen Workforce Identity-Pool-Anbieter, mit denen Sie eine Anmeldekonfigurationsdatei erstellen können.
Vorhandene Konfigurationsdatei: ein Pfad zu einer vorhandenen Anmeldekonfigurationsdatei , mit der Sie sich in der gcloud CLI anmelden können.
Inhalt der Konfigurationsdatei: Inhalt der Konfigurationsdatei, den Sie in einer Konfigurationsdatei speichern können.
Anmeldekonfigurationsdatei abrufen
In diesem Abschnitt wird beschrieben, wie Sie eine Anmeldekonfigurationsdatei abrufen können, mit der Sie sich in der gcloud CLI anmelden können.
Anmeldekonfigurationsdatei erstellen
Sie können die ID des Workforce Identity-Pools und die ID des Workforce Identity-Pool-Anbieters verwenden, um eine Anmeldekonfigurationsdatei zu erstellen. Wenn Sie Administrator sind, können Sie Workforce-Pools und -Anbieter auflisten , um diese IDs zu finden.
Führen Sie den folgenden Befehl aus, um eine Anmeldekonfigurationsdatei zu erstellen:
Linux und macOS
gcloud iam workforce-pools create-login-config \ locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \ --output-file=LOGIN_CONFIG_PATH
Windows (PowerShell)
gcloud iam workforce-pools create-login-config ` locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID ` --output-file=LOGIN_CONFIG_PATH
Ersetzen Sie Folgendes:
WORKFORCE_POOL_ID: Die ID des Pools für die Mitarbeiteridentitätsföderation.WORKFORCE_PROVIDER_ID: Die ID des Workforce Identity-Föderationsanbieters.-
LOGIN_CONFIG_PATH: Der Pfad, in den die Anmeldekonfigurationsdatei geschrieben werden soll. Beispiel:login-config.json.
Die Anmeldekonfigurationsdatei enthält die Endpunkte, die von der gcloud CLI verwendet werden, um den browserbasierten Authentifizierungsvorgang zu aktivieren und die Zielgruppe auf den IdP festzulegen, der im Workforce Identity-Pool-Anbieter konfiguriert wurde. Die Datei enthält keine vertraulichen Daten.
Der Inhalt der Anmeldekonfigurationsdatei sieht in etwa so aus:
{ "universe_domain": "googleapis.com", "universe_cloud_web_domain": "cloud.google", "type": "external_account_authorized_user_login_config", "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID", "auth_url": "https://auth.cloud.google/authorize", "token_url": "https://sts.googleapis.com/v1/oauthtoken", "token_info_url": "https://sts.googleapis.com/v1/introspect" }
Sie können sich jetzt in der gcloud CLI anmelden.
Anmeldekonfigurationsdatei speichern
Sie können die Inhalte der Konfigurationsdatei für Anmeldedaten, die Ihnen zur Verfügung gestellt wurden, in einer Datei speichern. Notieren Sie sich den Pfad und melden Sie sich dann in der gcloud CLI an.
In der gcloud CLI anmelden
Führen Sie den folgenden Befehl aus, um sich mit einer Anmeldekonfigurationsdatei in der gcloud CLI anzumelden:
gcloud auth login --login-config="LOGIN_CONFIG_FILE_PATH"
Ersetzen Sie LOGIN_CONFIG_FILE_PATH durch den Pfad zur Anmeldekonfigurationsdatei, wenn Sie diese Datei noch nicht aktiviert haben.
Wenn Sie diese Datei jedoch bereits mit dem Flag --activate aktiviert haben, müssen Sie die Datei nicht noch einmal angeben.
Führen Sie stattdessen den folgenden Befehl aus:
gcloud auth login