In diesem Dokument wird beschrieben, wie Sie sich mit Ihrer föderierten Identität über eine browserbasierte Anmeldung in der Google Cloud CLI anmelden.
Hinweis
Prüfen Sie, ob Ihr Administrator die Mitarbeiteridentitätsföderation eingerichtet und konfiguriert hat.
Prüfen Sie, ob Sie Informationen für eine der folgenden Optionen haben. Diese Informationen können Sie von Ihrem Administrator erhalten.
IDs für Mitarbeiteridentitätspool und -anbieter: eine ID für den Mitarbeiteridentitätspool und eine ID für den Anbieter des Mitarbeiteridentitätspools, mit denen Sie eine Konfigurationsdatei für die Anmeldung erstellen können.
Vorhandene Konfigurationsdatei: ein Pfad zu einer vorhandenen Konfigurationsdatei für die Anmeldung , mit der Sie sich in der gcloud CLI anmelden können.
Inhalt der Konfigurationsdatei: Inhalt der Konfigurationsdatei, den Sie in einer Konfigurationsdatei speichern können.
Konfigurationsdatei für die Anmeldung abrufen
In diesem Abschnitt wird beschrieben, wie Sie eine Konfigurationsdatei für die Anmeldung abrufen können, mit der Sie sich in der gcloud CLI anmelden können.
Konfigurationsdatei für die Anmeldung erstellen
Sie können die ID des Mitarbeiteridentitätspools und die ID des Anbieters des Mitarbeiteridentitätspools verwenden, um eine Konfigurationsdatei für die Anmeldung zu erstellen.
Führen Sie den folgenden Befehl aus, um eine Konfigurationsdatei für die Anmeldung zu erstellen:
Linux und macOS
gcloud iam workforce-pools create-login-config \ locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \ --output-file=LOGIN_CONFIG_PATH
Windows (PowerShell)
gcloud iam workforce-pools create-login-config ` locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID ` --output-file=LOGIN_CONFIG_PATH
Ersetzen Sie Folgendes:
WORKFORCE_POOL_ID: Die ID des Mitarbeiteridentitätsföderationspools.WORKFORCE_PROVIDER_ID: Die ID des Anbieters der Mitarbeiteridentitätsföderation.-
LOGIN_CONFIG_PATH: Der Pfad, in den die Konfigurationsdatei für die Anmeldung geschrieben werden soll. Beispiel:login-config.json.
Die Konfigurationsdatei für die Anmeldung enthält die Endpunkte, die von der gcloud CLI verwendet werden, um den browserbasierten Authentifizierungsvorgang zu aktivieren und die Zielgruppe auf den IdP festzulegen, der im Anbieter des Mitarbeiteridentitätspools konfiguriert wurde. Die Datei enthält keine vertraulichen Daten.
Der Inhalt der Konfigurationsdatei für die Anmeldung sieht in etwa so aus:
{ "universe_domain": "googleapis.com", "universe_cloud_web_domain": "cloud.google", "type": "external_account_authorized_user_login_config", "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID", "auth_url": "https://auth.cloud.google/authorize", "token_url": "https://sts.googleapis.com/v1/oauthtoken", "token_info_url": "https://sts.googleapis.com/v1/introspect" }
Sie können sich jetzt in der gcloud CLI anmelden.
Konfigurationsdatei für die Anmeldung speichern
Sie können die Inhalte der Konfigurationsdatei für Anmeldedaten, die Ihnen zur Verfügung gestellt wurden, in einer Datei speichern. Notieren Sie sich den Pfad und melden Sie sich dann in der gcloud CLI an.
In der gcloud CLI anmelden
Führen Sie den folgenden Befehl aus, um sich mit einer Konfigurationsdatei für die Anmeldung in der gcloud CLI anzumelden:
gcloud auth login --login-config="LOGIN_CONFIG_FILE_PATH"
Ersetzen Sie LOGIN_CONFIG_FILE_PATH durch den Pfad zur Konfigurationsdatei für die Anmeldung, wenn Sie diese Datei noch nicht aktiviert haben.
Wenn Sie diese Datei jedoch zuvor mit dem Flag --activate aktiviert haben, müssen Sie die Datei nicht noch einmal angeben.
Führen Sie stattdessen den folgenden Befehl aus:
gcloud auth login