本文档介绍了如何使用基于浏览器的登录方式,通过您的联合身份登录 Google Cloud CLI。
准备工作
确保您的管理员已设置和配置员工身份联合。
确保您有信息可以证明您符合以下任一选项。 您的管理员可以提供此信息。
员工身份池和提供方 ID:员工身份池 ID 和员工身份池提供方 ID,可用于创建登录配置文件。
现有配置文件:现有登录配置文件的路径,您可以使用该文件登录 gcloud CLI。
配置文件内容:您可以保存到配置文件的配置文件内容。
获取登录配置文件
本部分介绍了如何获取可用于登录 gcloud CLI 的登录配置文件。
创建登录配置文件
您可以使用工作负载身份池 ID 和工作负载身份池提供方 ID 创建登录配置文件。
如需创建登录配置文件,请运行以下命令。您可以选择添加 --activate 标志,以激活该文件作为 gcloud CLI 的默认设置。
然后,您无需每次都指定配置文件路径,即可运行 gcloud auth login。
gcloud iam workforce-pools create-login-config \ locations/global/workforcePools/WORKFORCE_POOL_ID/providers/PROVIDER_ID \ --output-file=LOGIN_CONFIG_FILE_PATH
替换以下内容:
WORKFORCE_POOL_ID:员工池 IDPROVIDER_ID:提供方 IDLOGIN_CONFIG_FILE_PATH:您指定的配置文件的路径,例如login.json
该文件包含 gcloud CLI 用于启用基于浏览器的身份验证流程的端点,并将受众群体设置为在员工身份池提供方中配置的 IdP。该文件不含机密信息。
输出类似于以下内容:
{ "type": "external_account_authorized_user_login_config", "audience": "//iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID", "auth_url": "https://auth.cloud.google/authorize", "token_url": "https://sts.googleapis.com/v1/oauthtoken", "token_info_url": "https://googleapis.com/v1/introspect", }
如需停止
gcloud auth login 自动使用此配置文件,您可以通过运行 gcloud config unset auth/login_config_file 来取消设置此文件。
您现在可以登录 gcloud CLI。
保存登录配置文件
您可以将提供给您的凭据配置文件内容保存到文件中。记下路径,然后登录 gcloud CLI。
登录 gcloud CLI
如需使用登录配置文件登录 gcloud CLI,请运行以下命令:
gcloud auth login --login-config="LOGIN_CONFIG_FILE_PATH"
如果您之前未启用登录配置文件,请将 LOGIN_CONFIG_FILE_PATH 替换为登录配置文件的路径。不过,如果您之前使用 --activate 标志激活了此文件,则无需再次指定该文件。请改为运行以下命令:
gcloud auth login