:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger:")
-
IT-Awards
/cdn4.vogel.de/infinity/white.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger:")
-
Specials
-
Development
Das JavaScript-Framework Vue.js, Teil 11
-
DevOps
-
Cloud Native
-
Management
-
Solution Stack
Das JavaScript-Framework Vue.js, Teil 11
-
Technologien
- News
- eBooks
- Mediathek
- CIO Briefing
- Forum
- Akademie
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759300/1759342/original.jpg "Dev-Insider hat am 21. Oktober die Dev-Insider Readers' Choice Awards vergeben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1752700/1752730/original.jpg "Bitte notieren: Am 21. Oktober 2020, ab 13:00 Uhr, erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2020.")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "0105427462")
:quality(80)/p7i.vogel.de/wcms/27/e5/27e5a36b34684a188d64e6a577a66fbc/0105026884.jpeg "0105026884")
:quality(80)/p7i.vogel.de/wcms/ed/20/ed20a3a5242d9a52cbeaab5101c5954c/0104929225.jpeg "0104929225")
:quality(80)/p7i.vogel.de/wcms/9a/6f/9a6fdec64255e6cc21c251ec1b740ad2/0104966961.jpeg "0104966961")
:quality(80)/p7i.vogel.de/wcms/0c/fd/0cfd6b23424a2998d9d8f0c381f12923/0104679161.jpeg "0104679161")
:quality(80)/p7i.vogel.de/wcms/55/72/55720289e6a3d73a0bc3165966c3ec67/0105157248.jpeg "0105157248")
:quality(80)/p7i.vogel.de/wcms/c7/77/c7777327e05558a523e0d1561d34eee6/0105380843.jpeg "0105380843")
:quality(80)/p7i.vogel.de/wcms/7a/da/7adae20b51fadf20bd0c58ce6dcb4a1a/0105146308.jpeg "0105146308")
:quality(80)/p7i.vogel.de/wcms/6a/d0/6ad01ac077b94d139c85159d7c89b5fb/0105226515.jpeg "0105226515")
:quality(80)/p7i.vogel.de/wcms/7e/40/7e4096d934b7560d50ce7f8810a5a8af/0105136997.jpeg "0105136997")
:quality(80)/p7i.vogel.de/wcms/af/d0/afd0daf13bd3efc1554332338b2b4f13/0105077694.jpeg "0105077694")
:quality(80)/p7i.vogel.de/wcms/02/0d/020d7e20e95a46821daea91bc7a94cb5/0105127245.jpeg "0105127245")
:quality(80)/p7i.vogel.de/wcms/0a/b8/0ab8cc30b318f3eb28c94dde857599fe/0104995013.jpeg "0104995013")
:quality(80)/p7i.vogel.de/wcms/6e/4b/6e4baba566b41889049f0c6f14656989/0105110257.jpeg "0105110257")
Konfiguration und Berechtigungen getrennt GitHub sichert Deployments mit OpenID Connect
Um Continuous-Delivery-Workflows besser abzusichern, unterstützt GitHub Actions seit neuestem OpenID Connect, kurz OICD. Somit lässt sich die Cloud-Bereitstellung so konfigurieren, dass ablaufende Zugriffstoken direkt vom Cloud-Anbieter angefordert werden.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png")
:fill(fff,0)/p7i.vogel.de/companies/62/44/62441f164417b/fastly-logo-2020--3-.jpeg "fastly-logo-2020--3-"){kind=logo}
(Bild: GitHub)
Viele Cloud-Anbieter unterstützen bereits OIDC, darunter AWS, Azure, GCP und HashiCorp Vault. Ohne OpenID Connect wäre es notwendig, einen Berechtigungsnachweis oder ein Token als verschlüsseltes Secret in GitHub zu speichern und bei jeder Ausführung an den Cloud-Anbieter zu übermitteln.
GitHub-User müssen somit keine Cloud-Anmeldeinformationen mehr bei GitHub hinterlegen. Stattdessen können sie die OIDC-Vertrauenswürdigkeit des Cloud Providers konfigurieren und dann die entsprechenden Workflows aktualisieren. Auf Basis der Authentifizierungs- und Autorisierungstools des jeweiligen Cloud-Anbieters lässt sich genau steuern, welche Workflows auf Cloud-Ressourcen zugreifen können.
Auf diesem Weg sind die bei GitHub hinterlegten Konfigurationsdateien klar von den Berechtigungen getrennt. Ein weiterer Vorteil dieser Methode: Das Token ist kurzlebig und nur für einen einzigen Workflow-Job gültig, anschließend läuft es automatisch ab.
GitHub hat den Ablauf noch einmal genau beschrieben:
(Bild: GitHub)
- 1. Developer richten das OIDC-Vertrauensverhältnis für ihre Cloud-Rollen ein, um den Zugriff zwischen ihren Bereitstellungsworkflows und Cloud-Ressourcen zu verwalten.
- 2. Bei jeder Bereitstellung kann ein GitHub-Actions-Workflow nun ein OIDC-Token generieren. Dieses Token enthält alle Metadaten, die dem Workflow eine sichere, überprüfbare Identität bescheinigen.
- 3. Im Zuge der Anmeldeaktivität wird das Token abgerufen.
- 4. Der Cloud-Anbieter prüft dann die Angaben im OIDC-Token anhand der Cloud-Rollendefinition und stellt seinerseits ein Zugriffstoken zur Verfügung. Actions und Schritte innerhalb desselben Workflow-Jobs können dieses Zugriffstoken verwenden, um sich mit den Cloud-Ressourcen zu verbinden und diese bereitzustellen. Das Token läuft ab, wenn der Workflow-Auftrag abgeschlossen ist.
Um die Verwendung von OIDC für die Bereitstellung zu vereinfachen, haben wir mit beliebten Cloud-Partnern wie AWS, Azure, GCP und HashiCorp zusammengearbeitet, um die OIDC-Unterstützung zu ihren offiziellen Anmeldeaktionen hinzuzufügen. Erfahren Sie mehr darüber, wie Sie Ihre Cloud-Bereitstellungen durch die Verwendung von OIDC sichern können. Sehen Sie sich auch unseren GitHub Universe-Vortrag über die Unterstützung von Open ID Connect (OIDC) in GitHub an.
Aufklappen für Details zu Ihrer Einwilligung
(ID:47841820)
:quality(80)/images.vogel.de/vogelonline/bdb/1951300/1951302/original.jpg "Mit einigen Handgriffen fordert die eigene WebApp zur Authentifizierung auf.")
:quality(80)/images.vogel.de/vogelonline/bdb/1894900/1894933/original.jpg "Anlegen eines User Pools in Amazon Cognito.")