问题标签 [google-cloud-identity]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
go - 用于列出或获取设备的 Google Cloud Identity Api
我正在尝试通过 Golang 中的设备 API 获取或列出设备,但我一直在获取Error 403: The caller does not have permission, forbidden. 我做了以下步骤:
- 创建了一个服务帐户并以 .json 格式检索了服务帐户密钥。然后,我使用具有范围的服务帐户的数字 ID 启用了宽域委派:
- 为服务帐户添加了以下权限:
- 然后我有以下代码来列出设备和组,模拟管理员用户(我自己):
但是,列出设备的调用不断返回以下错误:
但是列出组的调用给了我一个200 response code,这意味着请求成功返回结果。
想知道是否有人可以指出我可能缺少的权限的正确方向?
google-cloud-platform - 使用 gcloud 身份群组成员列表查看群组成员所需的权限
如问题所述。我知道在 GCP 云身份 API 和 CLI 工具中,我可以使用以下命令提取组成员列表。
对于某些组,我得到返回结果。对于其他人,它说该组不存在。它真正的意思是我无权看到该组的内部。因为我知道该组存在的事实,所以当我运行命令以显示项目中的所有主体时,我可以看到它:
问题是我要求哪些特定的 IAM 或组策略有权查看我的组织内的所有组。所有 GCP 示例都假定您对所有内容都拥有管理员权限,而在任何地方都没有指定使用特定命令所需的最低权限的真实文档。
我自己的 IAM 团队说我们不知道你需要什么,这是一个谷歌小组的事情,弄清楚并提出要求,然后我们可以研究并授予。由于组成员身份与 IAM 委托人有些不同,但一个组可以充当委托人,所以我有点卡住了。
google-cloud-platform - 如何使用目录 API 或 Cloud Identity API 获取 Google 群组内容
任何人都可以向我建议如何使用 2 个不同的 API 获取 google 组的内容
- 云身份 API
- 谷歌目录 API
我们需要获取 google 群组内容。
google-cloud-platform - id1 下的 GCP 订阅和使用 id2 创建的云身份。我如何将两者合并到一个具有组织的帐户中
因此,我使用我的用户帐户 myname@myOrg.com 订阅了 GCP。
在按照文档在此创建组织时,我创建了组织但将管理员用户指定为 myname-adm@myOrg.com
现在我似乎被困在使用 myname@myOrg.com 我可以进入我的 GCP 帐户,但是在指定 Organization 时,它说 myOrg.com 已经存在
如果我切换到 myname-adm@myOrg.com 我可以进入云身份管理控制台可以看到 myOrg.com 已创建...登录到 gcp 控制台我看到它是一个新帐户并将 org 作为项目。尝试将 myname-adm@myOrg.com 添加到该组织失败,因为它识别出该帐户已经存在并询问我是否要转移帐户我说是,但是单击发送到 myname@myOrg.com 的电子邮件上的接受时,它失败,无法转移帐户。
帮助 !
google-cloud-platform - 如何使用 REST API 从 Google Cloud Identity Platform 注销当前用户?
该文档解释了如何使用 REST API 来执行常见的用户操作,例如登录用户。
但它不包括如何注销当前用户。怎么做?
firebase - 什么是 Firebase 身份验证会话 Cookie JWK URL?
使用常规 Firebase 身份验证 ID 令牌,我们可以使用https://www.googleapis.com/service_accounts/v1/jwk/securetoken@system.gserviceaccount.com的 JWK URL 进行验证
如果您改为创建会话 Cookie,其中颁发者是https://session.firebase.google.com/,那么 JWK 位于哪个 URL?
firebase - Firebase `createUserWithEmailAndPassword` 创建了一个具有正确租户 ID 的用户,但我仍然看到错误 `auth/tenant-id-mismatch`
以下是代码示例。目标是创建一个具有电子邮件和密码的用户,用于特定的tenantId:
一切顺利,我得到了正确的用户凭据,并且返回的用户对象也有正确tenantId的。但是,chrome 控制台错误抛出auth/tenant-id-mismatch. 到目前为止,我在该项目中只有一个租户设置,也没有其他租户 ID。我也在 firebaseAuth 对象中记录了租户 ID,这似乎正是tenantId我从 firebase 收到的确切信息。
我似乎无法追踪以下错误的来源。
google-apps-script - https://cloudidentity.googleapis.com 请求失败,返回代码 403
我正在尝试使用此API 管理我工作区中的公司设备。第一步是拉出当前设备的列表。代码在应用程序脚本中。
我越来越:
我做过的事情
- 服务帐户对 cloud-platform、cloud-identity 和 cloud-identity.devices 具有域范围的委派
- 身份验证是通过 Google 的 OAuth 库完成的,似乎工作正常。
- OAuth 也有范围的空间,需要相同的空间。
代码位:
看起来一切都很好,只是我没有权限。但据我所知,没有更多相关的权限可以给予。
google-cloud-platform - 如何验证外部租户应用程序以访问多租户 GCP Cloud Run 应用程序
背景:
我们正在 Google Cloud Platform (GCP) 中开发多租户应用程序。具有多租户的身份平台设置非常适合使用 Firebase 由 Google Cloud API 网关进行身份验证的最终用户。
所有对“租户感知”端点的请求都必须有一个 TENANT_ID 标头,并且该值必须与经过身份验证的用户的 firebase.tenant 声明相匹配。因此,这是后端应用程序(在 Cloud Run 上)识别用户代表哪个租户操作的地方,并且只能访问该租户的数据。
问题:
但是现在我们想授予客户的后端应用程序访问我们的系统和该租户的数据的权限,以便他们可以顺利地将我们的系统集成到他们的系统中。然后,我们的客户可以获取他们存储在我们系统中的数据,并在他们自己的应用程序中使用和显示。
由于我们客户的应用程序并不真正代表实际用户,而是租户本身,我们不能使用(我认为)Identity Platform 的多租户机制。
我们可以为每个客户创建一个服务帐户,但这会生成大量服务帐户,然后 API 网关配置必须包含每个客户服务帐户的安全描述。另外,这样的服务帐号如何绑定到特定的租户,我们如何对租户服务帐号进行身份验证和授权?
在这种情况下我们应该怎么做?
firebase - 在云身份中接管已经注册的域有什么影响?
我有一个客户有几个国家办事处,因此有不同的国家特定的顶级域名。
现在我们想在主要的公司租户下合并谷歌访问,但一些办公室已经注册了他们的域以用于积极使用的各种服务。无论是火力基地还是营销平台。
虽然从技术上讲我们知道该怎么做,但我们不确定我们的行动对业务的影响和影响。
我们处理 gcp 方面的事情,对处理额外的服务没有兴趣。
权限管理的转移是否会对已经使用的服务产生影响?业务还是技术?我们是否必须处理与计费相关的事情?
谢谢帮助