0 / 0
Go back to the English version of the documentation
Przykłady stowarzyszania tożsamości obciążenia
Last updated: 06 lip 2023
Przykłady stowarzyszania tożsamości obciążenia

Stowarzyszenie tożsamości obciążenia dla połączenia Google BigQuery jest obsługiwane przez dowolnego dostawcę tożsamości, który obsługuje protokół OpenID Connect (OIDC) lub SAML 2.0.

Te przykłady dotyczą produktów AWS z Amazon Cognito i Microsoft Azure.

AWS

Konfigurowanie stowarzyszenia tożsamości obciążenia w Amazon Cognito

  1. Utwórz dostawcę tożsamości OIDC (IdP) z Cognito, postępując zgodnie z instrukcjami w dokumentacji Amazon:

    Więcej informacji na ten temat zawiera sekcja Pierwsze kroki z Amazon Cognito.

  2. Utwórz grupę i użytkownika w IdP za pomocą konsoli AWS . Można również użyć interfejsu CLI AWS :

    CLIENT_ID=YourClientId
ISSUER_URL=https://cognito-idp.YourRegion.amazonaws.com/YourPoolId
POOL_ID=YourPoolId
USERNAME=YourUsername
PASSWORD=YourPassword
GROUPNAME=YourGroupName

aws cognito-idp admin-create-user --user-pool-id $POOL_ID --username $USERNAME --temporary-password Temp-Pass1
aws cognito-idp admin-set-user-password --user-pool-id $POOL_ID --username $USERNAME --password $PASSWORD --permanent
aws cognito-idp create-group --group-name $GROUPNAME --user-pool-id $POOL_ID
aws cognito-idp admin-add-user-to-group --user-pool-id $POOL_ID --username $USERNAME --group-name $GROUPNAME

  3. W konsoli AWS kliknij opcję Wyświetl udostępniony interfejs użytkownika i zaloguj się do interfejsu użytkownika IDP w przeglądarce, aby upewnić się, że nowe wyzwanie dotyczące hasła zostało rozwiązane.

  4. Pobierz element IdToken za pomocą interfejsu CLI AWS :

    aws cognito-idp admin-initiate-auth --auth-flow ADMIN_USER_PASSWORD_AUTH --client-id $CLIENT_ID --auth-parameters USERNAME=$USERNAME,PASSWORD=$PASSWORD --user-pool-id $POOL_ID

    Więcej informacji na temat przepływu uwierzytelniania w środowisku Amazon Cognito User Pools znajduje się w sekcji AdminInitiateAuth.

Skonfiguruj Google Cloud dla Amazon Cognito

W przypadku tworzenia dostawcy w Google Cloudnależy użyć następujących ustawień:

  • Ustaw wartość Issuer (URL) na https://cognito-idp.YourRegion.amazonaws.com/YourPoolId.
  • Ustaw wartość Allowed Audience (Dozwolone audyty) na identyfikator klienta.
  • W obszarze Odwzorowanie atrybutuodwzoruj google.subject na assertion.sub.

Utwórz połączenie Google BigQuery z stowarzyszaniem tożsamości obciążenia Amazon Cognito

  1. Wybierz metodę uwierzytelniania Stowarzyszanie tożsamości obciążenia z tokenem dostępu .

  2. W polu Publiczność usługi znaczników bezpieczeństwa należy użyć następującego formatu:

    //iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID

  3. W polu Adres e-mail konta usługiwprowadź adres e-mail konta usługi Google , które ma być wcielone w osobę. Więcej informacji na ten temat zawiera sekcja Tworzenie konta usługi dla obciążenia zewnętrznego.

  4. (Opcjonalnie) Podaj wartość w polu Czas ważności znacznika konta usługi (w sekundach). Domyślny czas życia tokenu dostępu do konta usługi to jedna godzina. Więcej informacji na ten temat zawiera sekcja Informacje autoryzacyjne źródła adresu URL.

  5. Ustaw wartość Format tokenu na Text

  6. Ustaw opcję Typ znacznika na wartość ID token

Azure

Konfigurowanie stowarzyszenia tożsamości obciążenia w Azure

  1. Utwórz aplikację i usługę Azure AD i nazwę użytkownika usługi.

  2. W polu Identyfikator URI identyfikatora aplikacji należy ustawić wartość dla aplikacji. Można użyć domyślnego identyfikatora URI identyfikatora aplikacji (api://APPID) lub określić niestandardowy identyfikator URI.

    Instrukcje dotyczące tworzenia tożsamości zarządzanej można pominąć.

  3. Postępuj zgodnie z instrukcjami, aby utworzyć nowy klucz tajny aplikacji , aby uzyskać znacznik dostępu za pomocą interfejsu REST API.

    Więcej informacji na ten temat zawiera sekcja Konfigurowanie stowarzyszenia tożsamości obciążenia przy użyciu opcji Azure.

Skonfiguruj program Google Cloud dla opcji Azure

  1. Wykonaj instrukcje: Configure workload identity federation(Konfigurowanie stowarzyszenia tożsamości obciążenia).
  2. Wykonaj instrukcje: Create the workload identity pool and provider(Utwórz pulę tożsamości obciążenia i dostawcę). Przy konfigurowaniu dostawcy należy użyć następujących ustawień:
    • Ustaw wartość Issuer (URL) (Wystawca) na https://sts.windows.net/TENANTID/, gdzie TENANTID jest identyfikatorem podmiotu użytkującego, który został otrzymany podczas konfigurowania Azure Active Directory.
    • Ustaw wartość Allowed publiczności (Dozwolone grupy odbiorców) na identyfikator klienta, który został odebrany podczas konfigurowania rejestracji aplikacji. Można też określić inny identyfikator URI identyfikatora aplikacji , który był używany podczas konfigurowania tożsamości aplikacji w produkcie Azure.
    • W obszarze Odwzorowanie atrybutuodwzoruj google.subject na assertion.sub.

Utwórz połączenie Google BigQuery z stowarzyszeniem tożsamości obciążenia Azure

  1. Wybierz jedną z następujących metod uwierzytelniania:

    • Stowarzyszanie tożsamości obciążenia ze znacznikiem dostępu
    • Stowarzyszanie tożsamości obciążenia z adresem URL tokenu

  2. W polu Publiczność usługi znaczników bezpieczeństwa należy użyć formatu opisanego w sekcji Uwierzytelnienie obciążenia korzystaającego z interfejsu REST API. Na przykład:

    //iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID

  3. W polu Adres e-mail konta usługiwprowadź adres e-mail konta usługi Google , które ma być wcielone w osobę. Więcej informacji na ten temat zawiera sekcja Tworzenie konta usługi dla obciążenia zewnętrznego.

  4. (Opcjonalnie) Podaj wartość w polu Czas ważności znacznika konta usługi (w sekundach). Domyślny czas życia tokenu dostępu do konta usługi to jedna godzina. Więcej informacji na ten temat zawiera sekcja Informacje autoryzacyjne źródła adresu URL.

  5. Jeśli określono wartość Workload Identity Federation with token URL, należy użyć następujących wartości:

    • Adres URL znacznika: https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/token. Ten adres URL pobiera znacznik z listy Azure.
    • Metoda HTTP: POST
    • Nagłówki HTTP: "Content-Type"="application/x-www-form-urlencoded;charset=UTF-8","Accept"="application/json"
    • Treść żądania: grant_type=client_credentials&client_id=CLIENT_ID&client_secret=CLIENT_SECRET&scope=APPLICATION_ID_URI/.default

  6. W polu Typ znacznikawybierz opcję Znacznik identyfikatora dla dostawcy tożsamości, który jest zgodny ze specyfikacją OpenID Connect (OIDC). Więcej informacji na ten temat zawiera sekcja Typy znaczników.

  7. Opcja Format znacznika zależy od tego wyboru uwierzytelniania:

    • Workload Identity Federation with access token(Stowarzyszanie tożsamości obciążenia ze znacznikiem dostępu): wybierz opcję Tekst , jeśli w polu Znacznik dostępu podano wartość surowego znacznika.
    • Workload Identity Federation z adresem URL tokenu: W przypadku odpowiedzi z adresu URL znacznika w formacie JSON z tokenem dostępu zwracanym w polu o nazwie access_tokennależy użyć następujących ustawień:
      • Format znacznika: JSON
      • Nazwa pola tokenu: access_token

Więcej inform.

Temat nadrzędny: PołączenieGoogle BigQuery

Generative AI search and answer
These answers are generated by a large language model in watsonx.ai based on content from the product documentation. Learn more