En este documento se describe cómo iniciar sesión en la CLI de Google Cloud con tu identidad federada mediante un inicio de sesión basado en navegador.
Antes de empezar
Asegúrate de que tu administrador haya configurado Federación de Identidades de los Empleados.
Asegúrate de que tienes información que respalde una de las siguientes opciones. Tu administrador puede proporcionarte esta información.
IDs de grupo y proveedor de identidades de Workforce: un ID de grupo de identidades de Workforce y un ID de proveedor de grupo de identidades de Workforce que puedes usar para crear un archivo de configuración de inicio de sesión.
Archivo de configuración actual: ruta a un archivo de configuración de inicio de sesión que puedes usar para iniciar sesión en gcloud CLI.
Contenido del archivo de configuración: contenido del archivo de configuración que puedes guardar en un archivo de configuración.
Obtener un archivo de configuración de inicio de sesión
En esta sección se describe cómo obtener un archivo de configuración de inicio de sesión que puedes usar para iniciar sesión en gcloud CLI.
Crear un archivo de configuración de inicio de sesión
Puedes usar el ID del grupo de identidades de carga de trabajo y el ID del proveedor de identidades de carga de trabajo para crear un archivo de configuración de inicio de sesión.
Para crear el archivo de configuración de inicio de sesión, ejecuta el siguiente comando. También puedes activar el archivo como predeterminado para gcloud CLI añadiendo la marca --activate.
Después, puedes ejecutar gcloud auth login sin especificar la ruta del archivo de configuración cada vez.
gcloud iam workforce-pools create-login-config \ locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \ --output-file=LOGIN_CONFIG_FILE_PATH
Haz los cambios siguientes:
WORKFORCE_POOL_ID: el ID del grupo de trabajadoresPROVIDER_ID: el ID del proveedorLOGIN_CONFIG_FILE_PATH: la ruta a un archivo de configuración que especifiques (por ejemplo,login.json
El archivo contiene los endpoints que usa la CLI de gcloud para habilitar el flujo de autenticación basado en el navegador y definir la audiencia en el IdP que se configuró en el proveedor del grupo de identidades de Workforce. El archivo no contiene información confidencial.
El resultado es similar al siguiente:
{ "type": "external_account_authorized_user_login_config", "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID", "auth_url": "https://auth.cloud.s3nscloud.fr/authorize", "token_url": "https://sts.s3nsapis.fr/v1/oauthtoken", "token_info_url": "https://sts.s3nsapis.fr/v1/introspect", }
Para evitar que
gcloud auth login use este archivo de configuración automáticamente, puedes anularlo ejecutando gcloud config unset auth/login_config_file.
Ahora puedes iniciar sesión en gcloud CLI.
Guardar un archivo de configuración de inicio de sesión
Puedes guardar en un archivo el contenido del archivo de configuración de credenciales que se te haya proporcionado. Anota la ruta y inicia sesión en gcloud CLI.
Iniciar sesión en gcloud CLI
Para iniciar sesión en gcloud CLI con un archivo de configuración de inicio de sesión, ejecuta el siguiente comando:
gcloud auth login --login-config="LOGIN_CONFIG_FILE_PATH"
Sustituye LOGIN_CONFIG_FILE_PATH por la ruta del archivo de configuración de inicio de sesión si no lo has activado antes.
Sin embargo, si ya ha activado este archivo con la marca --activate, no es necesario que lo especifique de nuevo.
En su lugar, ejecuta el siguiente comando:
gcloud auth login