Azure DevOps with GCP
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(3.2, 65%, 10%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EGV%3C/text%3E%3C/svg%3E)
Gilmar Vagner
0
Pontos de reputação
ERROR: (gcloud.projects.describe) There was a problem refreshing your current auth tokens: ('Error code invalid_request: The size of mapped attribute google.subject exceeds the 127 bytes limit. Either modify your attribute mapping or the incoming assertion to produce a mapped attribute that is less than 127 bytes.', '{"error":"invalid_request","error_description":"The size of mapped attribute google.subject exceeds the 127 bytes limit. Either modify your attribute mapping or the incoming assertion to produce a mapped attribute that is less than 127 bytes."}')
Azure DevOps
{count} votos
-
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(150.4, 23%, 24%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EAR%3C/text%3E%3C/svg%3E)
Anurag Rohikar 3,185 Pontos de reputação Equipe Externa da Microsoft Moderador2025-12-16T12:15:51.5466667+00:00 Oi, Gilmar Vagner! Parece que você está enfrentando um erro de autorização relacionado ao
google.subjectatributo exceder o limite de tamanho durante sua integração do Azure DevOps com o GCP. Veja o que você pode tentar para resolver o problema:- **Modificação do Mapeamento de **Atributos: O erro sugere que o atributo
google.subjecté grande demais (mais de 127 bytes). Você pode modificar o mapeamento de atributos nas configurações do seu provedor de identidade ou do Azure DevOps para garantir que ogoogle.subjectvalor esteja abaixo do limite. - **Revise Reivindicações de **Declaração: Verifique as reivindicações de declaração recebidas pelo seu provedor de identidade. Você pode precisar ajustá-los para produzir atributos mapeados que estejam em conformidade com a restrição de tamanho.
- Consulte a Documentação: Para mais informações sobre como gerenciar tokens de autenticação e solucionar problemas com integrações Azure DevOps, consulte a documentação Azure sobre conectar sua organização Azure DevOps ao Azure Active Directory.
- Informações de Depuração: Se os problemas persistirem, ative o logging detalhado no Azure DevOps. Você pode configurar
System.Debugtruepara no seu pipeline, o que pode te dar mais informações sobre o que está dando errado.
Espero que isso ajude você a voltar ao ritmo! Se precisar de mais ajuda, fique à vontade para perguntar.
Documentação de Referência
- Conecte sua organização Azure DevOps ao seu Microsoft Entra ID
- Solucionar problemas ao implantar código de aplicação via Azure DevOps
- Visão geral da arquitetura Azure DevOps
Me avise se tiver mais alguma dúvida ou precisar de esclarecimentos!
Nota: Este conteúdo foi elaborado com a ajuda de um sistema de IA.
- **Modificação do Mapeamento de **Atributos: O erro sugere que o atributo
Entre para comentar
3 respostas
Classificar por: Mais útil
-
-
Gilmar Vagner 0 Pontos de reputação
2025-12-11T15:17:15.24+00:00 Gostaria de solicitar auxílio para resolver um problema de integração entre o Azure DevOps e o Google Cloud (GCP). Estou utilizando Workload Identity Federation com OIDC, porém estou enfrentando falhas de autenticação: o token gerado não é aceito pelo GCP, impedindo a comunicação adequada entre os serviços. Mesmo seguindo toda a documentação oficial disponível — tanto da Microsoft quanto do Google — o processo de autenticação ainda não funciona como esperado. Preciso de suporte para identificar a causa da falha no token e ajustar corretamente a configuração de autenticação.
-
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(19.2, 14.000000000000002%, 11%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3ESD%3C/text%3E%3C/svg%3E)
Siddhesh Desai 740 Pontos de reputação Equipe Externa da Microsoft Moderador2025-12-22T13:25:05.5533333+00:00 Olá @Gilmar Vagner
Obrigado por contactar o Microsoft Q&A.
Este erro ocorre porque o novo emissor OIDC do Azure DevOps emite declarações de token fixas e amplas que não podem ser personalizadas ou truncadas, ao contrário do include_claim_keys do GitHub.
Com o novo emissor, o ADO não consegue definir o âmbito dos tokens na origem, pelo que o GCP impõe limites e o âmbito deve ser feito inteiramente do lado do consumidor (condições do emissor + assunto).
Identifique os campos do token
No pipeline do ADO, observe o emissor (iss), o público-alvo (aud) e o assunto (sub) do token OIDC.
Criar/Atualizar o fornecedor OIDC do GCP
Configure um fornecedor de identidade de carga de trabalho no GCP utilizando o novo emissor do ADO, o público-alvo permitido e mapeie o google.subject.
Ligue a conta de serviço do GCP
Conceda roles/iam.workloadIdentityUser ao fornecedor, com âmbito definido pelo assunto (ligação pipeline/serviço).
Utilize a federação no pipeline
Troque o token OIDC do Azure DevOps pelas credenciais GCP e execute comandos gcloud/SDK em segurança.
Pode ligar o Azure DevOps ao GCP de uma forma alternativa:
https://docs.cloud.google.com/dotnet/docs/creating-cicd-pipeline-vsts-kubernetes-engine
Chave da conta de serviço (JSON)
Armazene a chave da conta de serviço do GCP nos segredos do Azure DevOps e autentique-se através de GOOGLE_APPLICATION_CREDENTIALS.
Broker do Vault/Terraform
O Azure DevOps autentica-se no Vault/TFC, que depois acede ao GCP.
Desencadear uma ação do GitHub a partir do Azure DevOps; o GitHub utiliza o OIDC nativo do GCP
Chame diretamente as APIs do GCP STS a partir do pipeline.