Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

אימות והגדרת גישה ל-API בתחנת עבודה

במאמר הזה מוסבר איך לבצע אימות ולהגדיר גישת API בתחנת עבודה. למידע כללי על אימות ב- Google Cloud , תוכלו לעיין בסקירה הכללית על אימות.

אימות כמשתמש באמצעות Google Cloud CLI

אחרי שמפעילים את Cloud Workstations, אפשר לגשת לשירותים ול-API באמצעות חשבונות המשתמשים דרך gcloud CLI. Google Cloud

פותחים טרמינל בתחנת העבודה. הדרך לפתוח חלון טרמינל תלויה ב-IDE שבו משתמשים. לדוגמה, אם אתם משתמשים בעורך הבסיסי של Cloud Workstations, אתם יכולים לפתוח טרמינל על ידי בחירה באפשרות Terminal > New Terminal או על ידי הקשה על Control+Shift+`‎.
מבצעים אימות באמצעות הפקודה הבאה:
```
gcloud auth login --no-launch-browser
```
פועלים לפי ההוראות שמופיעות בפקודה כדי לבצע אימות ב- Google Cloud.
מציינים את מזהה הפרויקט Google Cloud באמצעות הפקודה הבאה:
```
gcloud config set project PROJECT_ID
```
מפעילים את Application Default Credentials כדי לאפשר לכם לקרוא לשירותים של Google Cloud .
```
gcloud auth application-default login
```
פרטי הכניסה שלכם ל-gcloud CLI נשמרים עכשיו וזמינים לשימוש בתחנת העבודה בסשנים עתידיים.

שליחת בקשת HTTP לתחנת עבודה

כדי לשלוח בקשת HTTP לתחנת עבודה, צריך אסימון גישה לחשבון עם התפקיד משתמש ב-Cloud Workstations בתחנת העבודה הזו:

יוצרים אסימון גישה באמצעות שיטת ה-API‏ generateAccessToken.
מוסיפים כותרת HTTP בשם Authorization עם הערך Bearer $TOKEN.

חיבור לתחנת העבודה בדפדפן

כשפותחים את כתובת ה-URL של תחנת העבודה בדפדפן, מתבצע אימות אוטומטי באמצעות הפניה לשרת של תחנות העבודה, ומאוחזר אסימון גישה שנוצר על ידי שיטת ה-API‏ generateAccessToken. הפעולה הזו תגרום להפניה חזרה לתחנת העבודה שלכם ותגדיר קובץ Cookie לאימות שתקף לסשן הנוכחי של תחנת העבודה.

כדי לדלג על ההפניה האוטומטית הזו, משתמשים בפרמטר _workstationAccessToken של כתובת ה-URL:

יוצרים אסימון גישה באמצעות שיטת ה-API‏ generateAccessToken.
פותחים את כתובת ה-URL של תחנת העבודה בדפדפן ומוסיפים פרמטר של כתובת URL בפורמט הבא: _workstationAccessToken=TOKEN.

הפעולה הזו מגדירה קובץ Cookie לאימות בדפדפן, שמאפשר גישה לסשן הנוכחי של תחנת העבודה. דילוג על ההפניה יכול להיות שימושי אם הגישה לשרת תחנת העבודה חסומה על ידי מדיניות הרשת, או אם משתמשים ב-iframe כדי להציג את תחנת העבודה באתרים אחרים.

התחזות לחשבון שירות

אם מדיניות האבטחה של הארגון לא מאפשרת הקצאה של ההרשאות הנדרשות לחשבונות משתמשים, אפשר גם להתחזות לחשבון שירות. כדי להתחזות ל חשבון השירות שצוין בהגדרות תחנת העבודה, אפשר לציין את השדה היקפי ההרשאות של חשבון השירות.

        gcloud workstations configs create CONFIG \
            --cluster=CLUSTER \
            --region=REGION \
            --project=PROJECT \
            --service-account=SERVICE_ACCOUNT \
            --service-account-scopes=https://www.googleapis.com/auth/cloud-platform

כשמציינים את ההגדרה הזו, למשתמשים בתחנות עבודה שמוגדרות כך צריכה להיות הרשאה iam.serviceAccounts.actAs בחשבון השירות. מידע נוסף על הגדרת היקפי גישה לחשבון השירות זמין במאמר היקפי גישה.