Usando um gateway de API com o OIDC

Você pode usar tokens OpenID Connect (OIDC) para autenticar seu fluxo de trabalho.

Usando um gateway de API com o OIDC

Com o GitHub Actions, você pode usar tokens OIDC (OpenID Connect) para autenticar seu fluxo de trabalho fora do GitHub Actions.Por exemplo, você pode executar um gateway de API na borda da sua rede privada que autentica as solicitações de entrada com o token OIDC e, em seguida, faz solicitações de API em nome do seu fluxo de trabalho na sua rede privada.

O seguinte diagrama fornece uma visão geral da arquitetura desta solução:

Diagrama de uma arquitetura de gateway do OIDC, começando com um executor do GitHub Actions e terminando com um serviço privado de rede privada.

É importante que você verifique não apenas se o token OIDC veio do GitHub Actions, mas também se ele veio especificamente de seus fluxos de trabalho esperados, para que outros usuários do GitHub Actions não possam acessar serviços em sua rede privada. Você pode usar declarações OIDC para criar essas condições. Para obter mais informações, confira "Sobre o enrijecimento de segurança com o OpenID Connect".

As principais desvantagens dessa abordagem são que você deve implementar o gateway de API para fazer solicitações em seu nome e executar o gateway na borda da rede.

As seguintes vantagens são aplicáveis.

  • Você não precisa configurar nenhum firewall ou modificar o roteamento de sua rede privada.
  • O gateway de API não tem estado e é dimensionado horizontalmente para lidar com alta disponibilidade e alta taxa de transferência.

Para obter mais informações, consulte uma implementação de referência de um API Gateway no repositório github/actions-oidc-gateway. Essa implementação requer personalização para seu caso de uso e não está pronta para ser executada no estado em que se encontra.) Para obter mais informações, confira "Sobre o enrijecimento de segurança com o OpenID Connect".