身份验证令牌

身份合作伙伴 (IdP) 发出的不记名令牌 (JWT:RFC 7516),用于证明用户的身份。

JSON 表示法
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
字段
aud

string

由 IdP 标识的受众群体。应与本地配置进行核对。

email

string (UTF-8)

用户的电子邮件地址。

exp

string

到期时间。

iat

string

发卡时间。

iss

string

令牌颁发者。应通过一组受信任的身份验证颁发机构进行验证。

google_email

string

一个可选声明,用于在此 JWT 中的电子邮件声明与用户的 Google Workspace 电子邮件 ID 不同时使用。此声明包含用户的 Google Workspace 电子邮件身份。

...

您的密钥访问控制列表服务 (KACLS) 可以自由使用任何其他声明(位置、自定义声明等)来评估边界。

PrivilegedUnwrap 的 KACLS 身份验证令牌

身份合作伙伴 (IdP) 发出的不记名令牌 (JWT:RFC 7516),用于证明用户的身份。

此属性仅适用于 PrivilegedUnwrap。在 PrivilegedUnwrap 期间,如果使用 KACLS JWT 来替代 IDP 身份验证令牌,则接收方 KACLS 必须先提取颁发者的 JWKS,然后验证令牌签名,然后才能检查声明。

JSON 表示法
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
字段
aud

string

由 IdP 标识的受众群体。对于云端硬盘客户端加密 (CSE) PrivilegedUnwrap 操作,此值应为 kacls-migration

exp

string

到期时间。

iat

string

发卡时间。

iss

string

令牌颁发者。应通过一组受信任的身份验证颁发机构进行验证。必须与请求 KACLS 的 KACLS_URL 相匹配。您可以在 /certs 中找到发行者的公钥集。

kacls_url

string

当前正在解密数据的 KACLS 的网址。

resource_name

string

由 DEK 加密的对象的标识符。大小上限:128 字节。

...

您的密钥访问控制列表服务 (KACLS) 可以自由使用任何其他声明(位置、自定义声明等)来评估边界。