É possível usar o ScriptApp.getIdentityToken()
método para receber um
token de identidade do OpenID Connect (um JSON Web Token
ou JWT) para o usuário efetivo. Você pode usar esse token para autenticar serviços do Google Cloud, como o Cloud Run, que estão configurados para aceitá-lo.
Ativar o escopo do OpenID
O escopo openid é necessário para gerar um token de ID do OpenID Connect. Você também precisa listar todos os outros escopos usados pelo script, como
https://www.googleapis.com/auth/script.external_request para o
UrlFetch serviço. O escopo https://www.googleapis.com/auth/userinfo.email está incluído neste exemplo para adicionar o endereço de e-mail do usuário ao token de identidade.
No arquivo de manifesto do projeto de script (appsscript.json),
adicione o escopo openid e todos os outros escopos necessários à matriz oauthScopes:
{
"timeZone": "America/New_York",
"dependencies": {
},
"exceptionLogging": "STACKDRIVER",
"runtimeVersion": "V8",
"oauthScopes": [
"openid",
"https://www.googleapis.com/auth/script.external_request",
"https://www.googleapis.com/auth/userinfo.email"
]
}
Configurar o serviço do Google Cloud
É necessário configurar o serviço do Google Cloud para aceitar o token de identidade emitido para o script. Isso geralmente envolve a adição do ID do cliente do script como um público-alvo permitido.
Para encontrar o ID do cliente do script, decodifique um token de identidade:
function logClientId() {
const idToken = ScriptApp.getIdentityToken();
const body = idToken.split('.')[1];
const decoded = Utilities.newBlob(Utilities.base64Decode(body)).getDataAsString();
const payload = JSON.parse(decoded);
Logger.log('Client ID: ' + payload.aud);
}
No Cloud Run, é possível configurar públicos-alvo personalizados para permitir esse ID do cliente.
Fazer uma solicitação autenticada
Depois de configurado, você pode incluir o token de identidade no cabeçalho Authorization das solicitações:
function callCloudRunService() {
const idToken = ScriptApp.getIdentityToken();
const url = 'https://your-service-url.a.run.app';
const response = UrlFetchApp.fetch(url, {
headers: {
'Authorization': 'Bearer ' + idToken
}
});
Logger.log(response.getContentText());
}