אסימון למוכ"ז (JWT: RFC 7516) שהונפק על ידי שותף הזהויות (IdP) כדי לאמת את זהות המשתמש.
ייצוג JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
שדות | |
---|---|
aud |
הקהל, כפי שזוהה על ידי ספק הזהויות. יש לבדוק אותו מול התצורה המקומית. |
email |
זוהי כתובת האימייל של המשתמש. |
exp |
מועד תפוגה. |
iat |
מועד ההנפקה. |
iss |
מנפיק האסימון צריך לאמת אותו מול הקבוצה המהימנה של מנפיקי האימות. |
google_email |
זוהי תלונה אופציונלית שייעשה בה שימוש כאשר הצהרת האימייל ב-JWT הזה שונה ממזהה האימייל של המשתמש ב-Google Workspace. התלונה הזו כוללת את זהות האימייל של המשתמש ב-Google Workspace. |
... |
לשירות רשימת בקרת הגישה (KACLS) יש אפשרות להשתמש בכל הצהרה אחרת (מיקום, תלונה מותאמת אישית וכו') כדי להעריך את המתחם. |
אסימון אימות KACLS של PrivilegedUnwrap
אסימון למוכ"ז (JWT: RFC 7516) שהונפק על ידי שותף הזהויות (IdP) כדי לאמת את זהות המשתמש.
האפשרות הזו בשימוש רק ב-PrivilegedUnwrap
. במהלך PrivilegedUnwrap
, אם נעשה שימוש ב-JWT ב-KACLS במקום באסימון אימות IDP, קודם צריך לאחזר את ה-JWKS של המנפיק ואז לאמת את חתימת האסימון, לפני בדיקת ההצהרות.
ייצוג JSON | |
---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
שדות | |
---|---|
aud |
הקהל, כפי שזוהה על ידי ספק הזהויות. לפעולות של |
exp |
מועד תפוגה. |
iat |
מועד ההנפקה. |
iss |
מנפיק האסימון צריך לאמת אותו מול הקבוצה המהימנה של מנפיקי האימות. חייב להתאים ל- |
kacls_url |
כתובת ה-URL של רשימות ה-KACLS הנוכחיות, שבהן מפוענח נתונים. |
resource_name |
מזהה של האובייקט שהוצפן על ידי ה-DEK. גודל מקסימלי: 128 בייטים. |
... |
לשירות רשימת בקרת הגישה (KACLS) יש אפשרות להשתמש בכל הצהרה אחרת (מיקום, תלונה מותאמת אישית וכו') כדי להעריך את המתחם. |