本文說明如何使用瀏覽器登入,透過聯合身分登入 Google Cloud CLI。
事前準備
請確認管理員已設定並配置員工身分聯盟。
請確認您有資訊可支援下列其中一個選項。 管理員可以提供這項資訊。
工作團隊身分集區和提供者 ID:工作團隊身分集區 ID 和工作團隊身分集區提供者 ID,可用於建立登入設定檔。
現有設定檔:現有登入設定檔的路徑,可用於登入 gcloud CLI。
設定檔內容:您可以儲存至設定檔的設定檔內容。
取得登入設定檔
本節說明如何取得登入設定檔,以便登入 gcloud CLI。
建立登入設定檔
您可以使用工作團隊身分集區 ID 和工作團隊身分集區提供者 ID,建立登入設定檔。
執行下列指令,建立登入設定檔:
Linux 和 macOS
gcloud iam workforce-pools create-login-config \ locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \ --output-file=LOGIN_CONFIG_PATH
Windows (PowerShell)
gcloud iam workforce-pools create-login-config ` locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID ` --output-file=LOGIN_CONFIG_PATH
更改下列內容:
WORKFORCE_POOL_ID:員工身分聯盟集區 ID。WORKFORCE_PROVIDER_ID:員工身分聯盟提供者 ID。-
LOGIN_CONFIG_PATH:登入設定檔的寫入路徑。例如:login-config.json。
登入設定檔包含 gcloud CLI 啟動瀏覽器式驗證流程時使用的端點,並將對象設為工作團隊身分集區提供者中設定的 IdP。檔案不含機密資訊。
登入設定檔內容類似於下列範例:
{ "universe_domain": "googleapis.com", "universe_cloud_web_domain": "cloud.google", "type": "external_account_authorized_user_login_config", "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID", "auth_url": "https://auth.cloud.google/authorize", "token_url": "https://sts.googleapis.com/v1/oauthtoken", "token_info_url": "https://sts.googleapis.com/v1/introspect" }
現在可以登入 gcloud CLI。
儲存登入設定檔
您可以將系統提供的憑證設定檔內容儲存至檔案,記下路徑,然後登入 gcloud CLI。
登入 gcloud CLI
如要使用登入設定檔登入 gcloud CLI,請執行下列指令:
gcloud auth login --login-config="LOGIN_CONFIG_FILE_PATH"
如果尚未啟用登入設定檔,請將 LOGIN_CONFIG_FILE_PATH 替換成登入設定檔的路徑。不過,如果您先前已使用 --activate 旗標啟用這個檔案,就不需要再次指定檔案。請改為執行下列指令:
gcloud auth login