我创建了一个 Oauth 服务器并在配置中定义了自定义范围和声明。在访问令牌（JWT）上，我看到范围被定义为

我正在尝试使用教程设置 OIDC 和 GCP 工作负载身份配置之间的集成：

• https://cloud.google.com/iam/docs/configuring-workload-identity-federation#oidc_1
• https://medium.com/google-cloud/google-cloud-workload-identity-federation-with-okta-90c05b985b17

我没有遵循属性映射和条件的格式应该是什么？

我正在尝试设置 Azure AD“企业应用程序”以从 myapps.microsoft.com 访问谷歌云以获取身份和访问权限。

我按照https://cloud.google.com/iam/docs/configuring-workload-identity-federation#azure中的描述设置了工作负载身份联合，但是身份验证无法正常工作，并出现以下错误。

我的命令：

2个问题：

1. 我怀疑问题出在属性映射上。使用 Azure AD OIDC 提供程序时指定属性的理想配置是什么？
2. 我希望能够使用 GCP 中的工作负载联合功能为 Azure AD 企业应用程序中的用户/组分配谷歌云中的映射角色（例如，所有者/编辑者/查看者角色）。有人可以帮助我了解如何使用正确的属性映射将角色从 azure ad 链接到 GCP 中的服务帐户吗？

我正在关注带有 ESPv2 的 GKE Endpoints 入门。我在 GKE 集群上使用 Workload Identity Federation 和 Autopilot。

我一直遇到错误：

F0110 03:46:24.304229 8 server.go:54] fail to initialize config manager: http call to GET https://servicemanagement.googleapis.com/v1/services/name:bookstore.endpoints.<project>.cloud.goog/rollouts?filter=status=SUCCESS returns not 200 OK: 403 Forbidden

这最终导致传输失败错误并关闭 Pod。

我的第一步是调查权限问题，但我真的可以使用一些外部观点，因为我一直在这个问题上兜圈子。

这是我的配置：

服务帐户名称：test-espv2

角色

我已使用以下 yaml 将 WIF svc-act 与集群相关联

然后我将 pod 与test-espv2svc-act关联起来

由于gcr.io/endpoints-release/endpoints-runtime:2有限，我创建了一个测试容器并将其部署到同一个eventing命名空间中。

在容器中，我可以使用以下命令检索端点服务配置：

而且在容器内，我作为模拟服务帐户运行，经过以下测试：

我可以运行任何其他测试来帮助我调试此问题吗？

提前致谢，

我正在尝试在 GCP 中使用 Python 创建一个服务帐户。当我将 env var GOOGLE_APPLICATION_CREDENTIALS 设置为 JSON 凭据文件并使用以下代码时，这可以正常工作：

但是，以下代码在 CI - Github Actions using Workload Identity Federation 中失败：

失败并出现错误：

我正在使用以下 Github Action 向 Google 进行身份验证

任何人都可以帮忙吗？

我在 k8s 中设置了以下工作负载标识：

然后我像这样设置 BigQuery bean

但是每次我尝试调用例如这个方法

我得到 null 作为值，所以它正确加载了 bigquery bean。

在谷歌文档中我没有找到任何东西。

有人可以帮帮我吗？

PS。如果我使用 JSON 服务帐户尝试相同的方法，我会正确获得表格。

我正在尝试从 AWS EC2 或 Lambda 在 GCP 存储中签名 URL，我已经为权限生成了一个 JSON 文件，提供了我的 AWS 账户 ID 和授予 EC2 或 Lambda 的角色。即使拥有存储管理员或所有者权限，当我调用签名 URL 时，我也会得到：Error: The caller does not have permission.

我使用了 GCP 文档提供的代码。

谁能告诉我我错过了什么？怎么了？似乎是专业人士

*** 更新。

我正在创建一个服务帐户，将此服务帐户存储管理员授予我的项目，然后创建拉入Workload Identity Pools，设置 AWS 和我的 AWS 帐户 ID，然后通过我的 AWS 身份匹配角色授予访问权限，下载 JSON，并放置环境变量- GOOGLE_APPLICATION_CREDENTIALS- 我的 JSON 文件的路径和GOOGLE_CLOUD_PROJECT- 我的项目 ID。如何正确加载该clientLibraryConfig.json文件以运行我需要的功能？

更新** 2

我的 clientLibraryConfig JSON 有以下内容..

如何从此配置文件在节点 js SDK 中生成访问令牌以从 AWS ec2 访问 GCP 存储？

我正在尝试通过 github 使用google-github-actions/auth@v0和google-artifactregistry-auth

对于从 github 到 google 的身份验证，这是我使用联邦工作负载身份所做的：

然后我在 google 上创建了我的工件存储库：

这是我的 github 工作流程：

但是在这个工作流程中，我在 step 上遇到了错误Artifact login。告诉我 ：

完整的工作流程在这里 我不知道我的错误在哪里。我的服务帐户需要更多吗？或者这是一个问题google-artifactregistry-auth？我真的不知道：/

Thx 提前为您提供帮助！

编辑 1：我尝试遵循此文档，并在我的服务帐户中添加了一些正确的内容：

最近在学习GCP安全时，发现了2个类似的服务：

1. GCP IAM 服务下的工作负载身份联合。它同时提供 OIDC 和 AWS 作为外部身份提供商，并允许应用程序在获得对服务帐户的访问权限之前先进行身份验证
2. Identity Platform 实际上也做了类似的事情，例如允许使用第三方身份提供者进行身份验证。让我感到困惑的是，这项服务中没有 AWS 身份提供商。为什么会这样？他们是否试图相互补充？但他们在做类似的事情吗？

还有一件事是如何解释这个图表？id 令牌在这里是什么意思？以及如何判断id token 是否可用？如果我可以获得相关的经过身份验证的凭据，我可以假设我可以获得 id 令牌吗

图片链接：https ://cloud.google.com/iam/docs/best-practices-for-using-and-managing-service-accounts

我们一直在使用Google Directory API在内部应用程序上获取用户的个人资料。当我们进行身份验证时，我们一直在为服务和google-auth-library JWT类使用 json 密钥文件。服务帐户具有域范围委派以使用此端点。因此，访问令牌需要subject设置为工作区管理员。

我们的组织正在尝试从对服务帐户使用密钥文件转变为转向 GKE Workload Identity。我们可以使用应用程序默认凭据进行身份验证，将主题设置为clientOptions.

但是，创建的访问令牌没有主题集。这意味着令牌无法访问 Directory API。

有没有办法使用 Workload Identity 创建一个令牌？

我正在尝试使用 Workload Identity Federation 从部署在 AWS 中的应用程序访问 GCP 资源。所以我在环境变量中设置了配置文件（就像我们如何使用普通服务帐户密钥一样），但它没有连接并向我发送错误消息。

我在下面添加了错误消息片段：

//错误信息//

{ "消息": "\n\n<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">\n \n 404 - 未找到\n \n \n

404 - 未找到

//

我不确定为什么会这样。有人可以帮助我吗？