رمز المرور (JWT: RFC 7516) الذي يُصدره شريك الهوية (IdP) لإثبات هوية المستخدم
| تمثيل JSON | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
|
| الحقول | |
|---|---|
aud |
شريحة الجمهور، كما حدّدها موفِّر الهوية يجب التحقّق من الإعدادات المحلية. |
email |
عنوان البريد الإلكتروني للمستخدِم |
exp |
وقت انتهاء الصلاحية |
iat |
وقت الإصدار |
iss |
جهة إصدار الرمز المميّز يجب التحقّق من صحتها وفقًا لمجموعة موثوق بها من جهات إصدار المصادقة. |
google_email |
مطالبة اختيارية، يتم استخدامها عندما تختلف مطالبة البريد الإلكتروني في ملف JWT هذا عن معرّف البريد الإلكتروني للمستخدم على Google Workspace. تحمل هذه المطالبة هوية البريد الإلكتروني للمستخدم على Google Workspace. |
... |
يمكن لخدمة "قائمة التحكّم بالوصول إلى مفاتيح التشفير" (KACLS) استخدام أي مطالبات أخرى (الموقع الجغرافي أو المطالبة المخصّصة أو غير ذلك) لتقييم المحيط. |
الرمز المميّز لمصادقة KACLS لـ PrivilegedUnwrap
رمز المرور (JWT: RFC 7516) الذي يُصدره شريك الهوية (IdP) لإثبات هوية المستخدم
لا يتم استخدام هذا الإجراء إلا على PrivilegedUnwrap. أثناء PrivilegedUnwrap، إذا تم استخدام ملف KACLS
JWT بدلاً من رمز مميّز لمصادقة موفِّر خدمة التعريف، يجب أن يحصل مستلِم KACLS
أولاً على مفتاح JWKS الخاص بجهة الإصدار، ثم يتحقق من توقيع الرمز المميّز، قبل
التحقّق من المطالب.
| تمثيل JSON | |
|---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
|
| الحقول | |
|---|---|
aud |
شريحة الجمهور، كما حدّدها موفِّر الهوية بالنسبة إلى عمليات |
exp |
وقت انتهاء الصلاحية |
iat |
وقت الإصدار |
iss |
جهة إصدار الرمز المميّز يجب التحقّق من صحتها وفقًا لمجموعة موثوق بها من جهات إصدار المصادقة. يجب أن تتطابق مع |
kacls_url |
عنوان URL لـ KACLS الحالي الذي يتم فك تشفير البيانات عليه |
resource_name |
معرّف للعنصر المشفَّر باستخدام مفتاح الجلسة الحد الأقصى للحجم: 128 بايت |
... |
يمكن لخدمة "قائمة التحكّم بالوصول إلى مفاتيح التشفير" (KACLS) استخدام أي مطالبات أخرى (الموقع الجغرافي، والمطالبة المخصّصة، وما إلى ذلك) لتقييم المحيط. |