כניסה ל-CLI של gcloud באמצעות זהות מאוחדת

במאמר הזה מוסבר איך להיכנס ל-Google Cloud CLI באמצעות זהות מאוחדת דרך הדפדפן.

לפני שמתחילים

  1. מוודאים שהאדמין הגדיר את איחוד שירותי אימות הזהות של כוח העבודה.

  2. חשוב לוודא שיש לכם מידע שתומך באחת מהאפשרויות הבאות. האדמין יכול לספק את המידע הזה.

    • מזהים של מאגר זהויות של כוח עבודה ושל ספק מאגר זהויות של כוח עבודה: מזהה של מאגר זהויות של כוח עבודה ומזהה של ספק מאגר זהויות של כוח עבודה שבהם אפשר להשתמש כדי ליצור קובץ תצורה לכניסה.

    • קובץ תצורה קיים: נתיב לקובץ הגדרות כניסה קיים שאפשר להשתמש בו כדי להיכנס ל-CLI של gcloud.

    • תוכן קובץ התצורה: תוכן קובץ התצורה שאפשר לשמור בקובץ תצורה.

קבלת קובץ תצורה להתחברות

בקטע הזה מוסבר איך אפשר לקבל קובץ תצורה לכניסה שאפשר להשתמש בו כדי להיכנס ל-CLI של gcloud.

יצירת קובץ תצורה להתחברות

אפשר להשתמש במזהה של מאגר הזהויות של כוח העבודה ובמזהה של ספק מאגר הזהויות של כוח העבודה כדי ליצור קובץ תצורה לכניסה.

כדי ליצור את קובץ התצורה לכניסה, מריצים את הפקודה הבאה. אפשר גם להפעיל את הקובץ כברירת המחדל בשביל ה-CLI של gcloud על ידי הוספת הדגל --activate. אחרי זה אפשר להריץ את הפקודה gcloud auth login בלי לציין את הנתיב של קובץ התצורה בכל פעם. 

gcloud iam workforce-pools create-login-config \
    locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \
    --output-file=LOGIN_CONFIG_FILE_PATH

מחליפים את מה שכתוב בשדות הבאים:

  • WORKFORCE_POOL_ID: מזהה מאגר כוח העבודה
  • PROVIDER_ID: מזהה הספק
  • LOGIN_CONFIG_FILE_PATH: הנתיב לקובץ התצורה שמציינים. לדוגמה: login.json

הקובץ מכיל את נקודות הקצה (endpoints) שבהן ה-CLI של gcloud משתמש כדי להפעיל את תהליך האימות בדפדפן ולהגדיר את הקהל לספק הזהויות שהוגדר במאגר הזהויות של כוח העבודה. הקובץ לא מכיל מידע סודי.

הפלט אמור להיראות כך:

{
  "type": "external_account_authorized_user_login_config",
  "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID",
  "auth_url": "https://auth.cloud.google/authorize",
  "token_url": "https://sts.googleapis.com/v1/oauthtoken",
  "token_info_url": "https://sts.googleapis.com/v1/introspect"
}

כדי למנוע מ-gcloud auth login להשתמש בקובץ התצורה הזה באופן אוטומטי, אפשר לבטל את ההגדרה שלו באמצעות הפקודה gcloud config unset auth/login_config_file.

עכשיו אפשר להיכנס ל-CLI של gcloud.

שמירת קובץ התצורה להתחברות

אתם יכולים לשמור בקובץ את התוכן של קובץ התצורה של פרטי הכניסה שקיבלתם. רושמים את הנתיב ואז נכנסים ל-CLI של gcloud.

כניסה ל-CLI של gcloud

כדי להיכנס ל-CLI של gcloud באמצעות קובץ תצורה לכניסה, מריצים את הפקודה הבאה:

gcloud auth login --login-config="LOGIN_CONFIG_FILE_PATH"

אם לא הפעלתם את קובץ התצורה של הכניסה בעבר, מחליפים את LOGIN_CONFIG_FILE_PATH בנתיב לקובץ הזה. עם זאת, אם הפעלתם את הקובץ הזה בעבר באמצעות הדגל --activate, לא צריך לציין את הקובץ שוב. במקום זאת, מריצים את הפקודה הבאה:

gcloud auth login