במסמך הזה ובמסמך סוגי טוקנים מוסבר על הטוקנים הרבים שבהם משתמשת Cloud de Confiance by S3NS לאימות ולמתן הרשאה. המאמרים האלה מיועדים לאנשים שרוצים ללמוד איך פועל אימות מבוסס-טוקן, או שרוצים להטמיע אימות בלי להשתמש בספריות לקוח ב-Cloud.
אתם לא צריכים לדעת את הפרטים האלה כשאתם משתמשים בממשקי API של Cloud de Confiance by S3NSבאמצעות ספריות הלקוח ב-Cloud, המסוף או Google Cloud CLI – התהליך של בחירת סוג האסימון הנכון, קבלת האסימונים ועדכון שלהם מתבצע באופן אוטומטי. Cloud de Confiance
אימות משתמשים
כשמשתמשים אנושיים יוצרים אינטראקציה עם Cloud de Confiance by S3NS, הם לא יוצרים אינטראקציה עם ממשקי API שלCloud de Confiance by S3NS באופן ישיר. במקום זאת, הם משתמשים בלקוח כדי לפעול בשמם.
הלקוח שבו הם משתמשים יכול להיות אפליקציית אינטרנט, אפליקציה למחשב או כלי כמו Google Cloud CLI או curl.
מכיוון שהלקוח שולח את הבקשות ולא המשתמש, Cloud de Confiance by S3NS אי אפשר לבקש מידע על הזהות של המשתמש ישירות כדי לבדוק אם יש לו הרשאה להשתמש ב-API. במקום זאת, הזהות הזו מועברת אל ה-API דרך הלקוח בצורה של אסימון, שנכלל בכל בקשת API.
טוקן אימות משתמש מכיל את המידע הבא:
הזהות של המשתמש.
הזהות של הלקוח.
הבטחה שללקוח יש הרשאה לפעול בשם המשתמש.
הצדדים שמעורבים באימות המשתמש ובהרשאת הלקוח הם:
משתמש.
לקוח שפועל בשם המשתמש.
שרת הרשאות, שממשקי Google API מסתמכים עליו כדי לאמת את הלקוח.
ממשק API שדרכו הלקוח יוצר אינטראקציה. Cloud de Confiance by S3NS
לקוחות לא יכולים להנפיק אסימונים בעצמם. במקום זאת, הם צריכים לעבוד עם שרת הרשאות כדי לבצע את הפעולות הבאות:
מאמתים את המשתמש.
מאמתים את הלקוח.
מאשרים ללקוח לפעול בשם המשתמש.
הנפקת טוקן ללקוח.
משתמש שעובר אימות באמצעות איחוד שירותי אימות הזהות של כוח עבודה וספק זהויות חיצוני הוא גורם ראשי במאגר זהויות של כוח עבודה. לחשבון הראשי יש מזהה חשבון ראשי שדומה לזה:
principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/raha@altostrat.com
אימות עומסי עבודה
חלק מהלקוחות צריכים ליצור אינטראקציה עם ממשקי API של Google בשמם. לדוגמה, יכול להיות שמשימה מתוזמנת תצטרך לקרוא נתונים מ-BigQuery או מ-Cloud Storage בלי שמשתמש אנושי יהיה מעורב.
לקוחות שפועלים ללא השגחה ובשם עצמם נקראים עומסי עבודה. בניגוד לאימות משתמשים, אימות עומסי עבודה משלב בין אימות המשתמש והרשאת הלקוח לשלב אחד. לכן, אסימון אימות של עומס עבודה מקודד את הזהות של הלקוח בלבד.
אימות והרשאה של עומסי עבודה כוללים את הצדדים הבאים:
עומס עבודה, שפועל כלקוח וגם כמשתמש, ומטעם עצמו.
שרת הרשאות, שממשקי Google API מסתמכים עליו כדי לאמת את הלקוח.
ממשק API שדרכו הלקוח יוצר אינטראקציה. Cloud de Confiance by S3NS
כדי לגשת לממשקי API, לקוחות צריכים לעבוד עם שרת הרשאות כדי לבצע את הפעולות הבאות: Cloud de Confiance by S3NS
מאמתים את הלקוח.
מאשרים את הלקוח.
הנפקת טוקן ללקוח.
עומס עבודה מאומת נקרא גם ישות (principal), אבל עומסי עבודה משתמשים במזהי ישות שונים מאלה של משתמשים.
עומס עבודה שעובר אימות באמצעות חשבון שירות הוא חשבון משתמש . לחשבון הראשי יש מזהה חשבון ראשי שדומה לזה:
serviceAccount:my-service-account@my-project.s3ns.iam.gserviceaccount.com
עומס עבודה שעובר אימות באמצעות איחוד שירותי אימות הזהות של עומסי עבודה הוא סוג של מאגר זהויות של עומסי עבודה. לחשבון הראשי יש מזהה חשבון ראשי שדומה לזה:
principal://iam.googleapis.com/projects/PROJECT_NAME/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE