Autenticación
Para interactuar con el servidor, la CLI necesita autenticar las peticiones usando bearer authentication. La CLI admite la autenticación como usuario, como cuenta o utilizando un token OIDC.
Como usuario#
Cuando utilice la CLI localmente en su máquina, le recomendamos que se autentique como usuario. Para autenticarse como usuario, debe ejecutar el siguiente comando:
tuist auth login
El comando le llevará a través de un flujo de autenticación basado en web. Una
vez autenticado, la CLI almacenará un token de actualización de larga duración y
un token de acceso de corta duración en ~/.config/tuist/credentials. Cada
archivo del directorio representa el dominio con el que te has autenticado, que
por defecto debería ser tuist.dev.json. La información almacenada en ese
directorio es sensible, así que asegúrate de mantenerla a salvo.
La CLI buscará automáticamente las credenciales cuando realice peticiones al servidor. Si el token de acceso ha caducado, la CLI utilizará el token de actualización para obtener un nuevo token de acceso.
Tokens OIDC#
En los entornos CI compatibles con OpenID Connect (OIDC), Tuist puede autenticarse automáticamente sin necesidad de gestionar secretos de larga duración. Cuando se ejecuta en un entorno de CI compatible, la CLI detectará automáticamente el proveedor de token de OIDC e intercambiará el token proporcionado por CI por un token de acceso de Tuist.
Proveedores de IC compatibles#
- Acciones de GitHub
- CircleCI
- Bitrise
Configuración de la autenticación OIDC#
-
Conecta tu repositorio a Tuist: Sigue la guía de integración GitHub para conectar tu repositorio GitHub a tu proyecto Tuist.
-
Ejecute
tuist auth login: En su flujo de trabajo CI, ejecutetuist auth loginantes de cualquier comando que requiera autenticación. La CLI detectará automáticamente el entorno CI y se autenticará utilizando OIDC.
Consulte la Guía de integración continua para ver ejemplos de configuración específicos de cada proveedor.
Ámbitos de token OIDC#
A los tokens OIDC se les concede el grupo de alcance ci, que proporciona
acceso a todos los proyectos conectados al repositorio. Ver Grupos de
ámbito para más detalles sobre lo que incluye el ámbito ci.
La autenticación OIDC es más segura que los tokens de larga duración porque:
- No hay secretos que rotar o gestionar
- Los tokens son efímeros y se limitan a flujos de trabajo individuales.
- La autenticación está vinculada a su identidad de repositorio
Fichas de cuenta#
Para entornos CI que no soportan OIDC, o cuando se necesita un control preciso sobre los permisos, se pueden utilizar tokens de cuenta. Los tokens de cuenta le permiten especificar exactamente a qué ámbitos y proyectos puede acceder el token.
Crear un token de cuenta#
tuist account tokens create my-account \
--scopes project:cache:read project:cache:write \
--name ci-cache-token \
--expires 1y
El comando acepta las siguientes opciones:
| Opción | Descripción |
|---|---|
--ámbitos |
Obligatorio. Lista separada por comas de ámbitos para conceder el token. |
--name |
Obligatorio. Un identificador único para el token (de 1 a 32 caracteres, sólo alfanuméricos, guiones y guiones bajos). |
--expira en |
Opcional. Fecha de caducidad del token. Utilice un formato como 30d (días), 6m (meses), o 1y (años). Si no se especifica, el token nunca caduca. |
--proyectos |
Limita el acceso al token a determinados proyectos. Si no se especifica, el token tiene acceso a todos los proyectos. |
Ámbitos disponibles#
| Alcance | Descripción |
|---|---|
cuenta:miembros:leer |
Leer miembros de la cuenta |
cuenta:miembros:escribir |
Gestionar los miembros de la cuenta |
cuenta:registro:leer |
Lectura del registro de paquetes Swift |
cuenta:registro:escribir |
Publicar en el registro de paquetes Swift |
proyecto:avances:leer |
Descargar avances |
proyecto:avances:escribir |
Cargar previsualizaciones |
proyecto:admin:leer |
Leer la configuración del proyecto |
proyecto:admin:escribir |
Gestionar la configuración del proyecto |
proyecto:caché:leer |
Descargar binarios en caché |
proyecto:caché:escribir |
Cargar binarios en caché |
proyecto:paquetes:leer |
Ver paquetes |
proyecto:paquetes:escribir |
Cargar paquetes |
proyecto:pruebas:leer |
Leer los resultados de las pruebas |
proyecto:pruebas:escribir |
Cargar los resultados de las pruebas |
proyecto:construcciones:leer |
Leer análisis de construcción |
proyecto:construcciones:escribir |
Cargar análisis de construcción |
proyecto:carreras:leer |
El comando de lectura se ejecuta |
proyecto:corre:escribe |
Crear y actualizar ejecuciones de comandos |
Grupos de alcance#
Los grupos de ámbitos ofrecen una forma cómoda de conceder varios ámbitos relacionados con un único identificador. Cuando se utiliza un grupo de ámbitos, se amplía automáticamente para incluir todos los ámbitos individuales que contiene.
| Grupo Scope | Visores incluidos |
|---|---|
ci |
project:cache:write, project:previews:write, project:bundles:write, project:tests:write, project:builds:write, project:runs:write |
Integración continua (CI)#
Para entornos CI que no admiten OIDC, puede crear un token de cuenta con el
grupo de ámbito ci para autenticar sus flujos de trabajo CI:
tuist account tokens create my-account --scopes ci --name ci
Esto crea un token con todos los ámbitos necesarios para las operaciones típicas
de CI (caché, vistas previas, paquetes, pruebas, compilaciones y ejecuciones).
Guarde el token generado como un secreto en su entorno CI y establézcalo como la
variable de entorno TUIST_TOKEN.
Gestión de fichas de cuenta#
Para listar todos los tokens de una cuenta:
tuist account tokens list my-account
Para revocar un token por su nombre:
tuist account tokens revoke my-account ci-cache-token
Uso de fichas de cuenta#
Se espera que los tokens de cuenta se definan como la variable de entorno
TUIST_TOKEN:
export TUIST_TOKEN=your-account-token
Utiliza las fichas de cuenta cuando lo necesites:
- Autenticación en entornos CI que no admiten OIDC
- Control detallado de las operaciones que puede realizar el token
- Un token que puede acceder a varios proyectos dentro de una cuenta
- Fichas de duración limitada que caducan automáticamente