Dokumen ini dan dokumen Jenis token mencakup beberapa token yang digunakan oleh Cloud de Confiance by S3NS untuk autentikasi dan otorisasi. Dokumen ini ditujukan bagi orang yang ingin mempelajari cara kerja autentikasi berbasis token, atau yang ingin menerapkan autentikasi tanpa menggunakan Library Klien Cloud.
Anda tidak perlu mengetahui informasi ini saat berinteraksi dengan Cloud de Confiance by S3NS API menggunakan Library Klien Cloud, konsol Cloud de Confiance , atau Google Cloud CLI—proses pemilihan jenis token yang tepat, serta mendapatkan dan memuat ulang token tersebut ditangani secara otomatis untuk Anda.
Autentikasi pengguna
Saat berinteraksi dengan Cloud de Confiance by S3NS, pengguna manusia tidak berinteraksi dengan
APICloud de Confiance by S3NS secara langsung. Sebagai gantinya, mereka menggunakan klien untuk bertindak atas nama mereka.
Klien yang mereka gunakan dapat berupa aplikasi web, aplikasi desktop, atau utilitas seperti Google Cloud CLI atau curl.
Karena klien membuat permintaan, bukan pengguna, Cloud de Confiance by S3NS tidak dapat meminta informasi identitas dari pengguna secara langsung untuk memeriksa apakah mereka memiliki izin untuk menggunakan API. Sebagai gantinya, identitas ini diteruskan ke API melalui klien dalam bentuk token, yang disertakan dalam setiap permintaan API.
Token autentikasi pengguna mengenkode informasi berikut:
Identitas pengguna.
Identitas klien.
Jaminan bahwa klien diizinkan untuk bertindak atas nama pengguna.
Mengautentikasi pengguna dan memberikan otorisasi kepada klien melibatkan pihak-pihak berikut:
Pengguna.
Klien yang bertindak atas nama pengguna.
Server otorisasi, yang digunakan Google API untuk mengautentikasi klien.
A Cloud de Confiance by S3NS API yang berinteraksi dengan klien.
Klien tidak dapat mengeluarkan token sendiri. Sebagai gantinya, mereka harus bekerja dengan server otorisasi untuk melakukan hal berikut:
Autentikasi pengguna.
Lakukan autentikasi klien.
Memberi otorisasi klien untuk bertindak atas nama pengguna.
Terbitkan token ke klien.
Pengguna yang melakukan autentikasi menggunakan workforce identity federation dan penyedia identitas eksternal adalah pokok workforce identity pool. Principal memiliki ID principal yang mirip dengan berikut ini:
principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/raha@altostrat.com
Autentikasi workload
Beberapa klien perlu berinteraksi dengan Google API atas nama mereka sendiri. Misalnya, tugas terjadwal mungkin perlu membaca data dari BigQuery atau Cloud Storage tanpa melibatkan pengguna manusia.
Klien yang bertindak tanpa pengawasan dan atas nama mereka sendiri disebut sebagai workload. Tidak seperti autentikasi pengguna, autentikasi beban kerja menggabungkan autentikasi pengguna dan otorisasi klien dalam satu langkah. Oleh karena itu, token autentikasi workload mengenkode identitas hanya klien.
Autentikasi dan otorisasi beban kerja melibatkan pihak-pihak berikut:
Beban kerja, yang bertindak sebagai klien dan pengguna, serta atas namanya sendiri.
Server otorisasi, yang digunakan Google API untuk mengautentikasi klien.
A Cloud de Confiance by S3NS PI yang berinteraksi dengan klien.
Untuk mengakses API Cloud de Confiance by S3NS , klien harus berinteraksi dengan server otorisasi untuk melakukan hal berikut:
Lakukan autentikasi klien.
Beri otorisasi klien.
Terbitkan token ke klien.
Beban kerja yang diautentikasi juga disebut sebagai prinsipal, tetapi beban kerja menggunakan ID prinsipal yang berbeda dengan pengguna.
Workload yang melakukan autentikasi menggunakan akun layanan adalah akun utama akun layanan. Principal memiliki ID principal yang mirip dengan berikut ini:
serviceAccount:my-service-account@my-project.s3ns.iam.gserviceaccount.com
Beban kerja yang melakukan autentikasi menggunakan workload identity federation adalah pokok workload identity pool. Principal memiliki ID principal yang mirip dengan berikut:
principal://iam.googleapis.com/projects/PROJECT_NAME/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
Langkah berikutnya
Baca tentang jenis token.