Ce document explique comment vous connecter à Google Cloud CLI avec votre identité fédérée à l'aide d'une connexion via le navigateur.
Avant de commencer
Assurez-vous que votre administrateur a configuré la fédération des identités des employés.
Assurez-vous de disposer d'informations compatibles avec l'une des options suivantes. Votre administrateur peut vous fournir ces informations. Si vous êtes un administrateur, vous pouvez lister les pools et les fournisseurs de personnel pour trouver ces ID.
ID du pool et du fournisseur d'identité de personnel : ID du pool d'identité de personnel et ID du fournisseur de pool d'identité de personnel que vous pouvez utiliser pour créer un fichier de configuration de connexion.
Fichier de configuration existant : chemin d'accès à un fichier de configuration de connexion existant que vous pouvez utiliser pour vous connecter à gcloud CLI.
Contenu du fichier de configuration : contenu du fichier de configuration que vous pouvez enregistrer dans un fichier de configuration.
Obtenir un fichier de configuration de connexion
Cette section explique comment obtenir un fichier de configuration de connexion que vous pouvez utiliser pour vous connecter à gcloud CLI.
Créer un fichier de configuration de connexion
Vous pouvez utiliser l'ID du pool d'identité de personnel et l'ID du fournisseur de pool d'identité de personnel pour créer un fichier de configuration de connexion. Si vous êtes administrateur, vous pouvez lister les pools et les fournisseurs de personnel pour trouver ces ID.
Exécutez la commande suivante pour créer un fichier de configuration de connexion :
Linux et macOS
gcloud iam workforce-pools create-login-config \ locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID \ --output-file=LOGIN_CONFIG_PATH
Windows (PowerShell)
gcloud iam workforce-pools create-login-config ` locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID ` --output-file=LOGIN_CONFIG_PATH
Remplacez les éléments suivants :
WORKFORCE_POOL_ID: ID du pool de fédération des identités des employésWORKFORCE_PROVIDER_ID: ID du fournisseur de fédération des identités des employés-
LOGIN_CONFIG_PATH: chemin d'accès dans lequel écrire le fichier de configuration de connexion Exemple :login-config.json
Le fichier de configuration de connexion contient les points de terminaison utilisés par gcloud CLI pour activer le flux d'authentification via le navigateur et définir l'audience sur le fournisseur d'identité configuré dans le fournisseur de pool d'identité de personnel. Votre fichier ne contient aucune information confidentielle.
Le contenu du fichier de configuration de connexion se présente comme suit :
{ "universe_domain": "googleapis.com", "universe_cloud_web_domain": "cloud.google", "type": "external_account_authorized_user_login_config", "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID", "auth_url": "https://auth.cloud.google/authorize", "token_url": "https://sts.googleapis.com/v1/oauthtoken", "token_info_url": "https://sts.googleapis.com/v1/introspect" }
Vous pouvez maintenant vous connecter à gcloud CLI.
Enregistrer un fichier de configuration de connexion
Vous pouvez enregistrer dans un fichier le contenu du fichier de configuration des identifiants qui vous a été fourni. Notez le chemin d'accès, puis connectez-vous à gcloud CLI.
Se connecter à la gcloud CLI
Pour vous connecter à gcloud CLI avec un fichier de configuration de connexion, exécutez la commande suivante :
gcloud auth login --login-config="LOGIN_CONFIG_FILE_PATH"
Remplacez LOGIN_CONFIG_FILE_PATH par le chemin d'accès au fichier de configuration de connexion si vous ne l'avez pas encore activé.
Toutefois, si vous avez déjà activé ce fichier à l'aide de l'option --activate, vous n'avez pas besoin de le spécifier à nouveau.
Exécutez plutôt la commande suivante :
gcloud auth login