Token pembawa (JWT: RFC 7516) yang diterbitkan oleh partner identitas (IdP) untuk membuktikan identitas pengguna.
Representasi JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
Kolom | |
---|---|
aud |
Audiens, seperti yang diidentifikasi oleh IdP. Harus diperiksa dengan konfigurasi lokal. |
email |
Alamat email pengguna. |
exp |
Waktu habis masa berlaku. |
iat |
Waktu penerbitan. |
iss |
Penerbit token. Harus divalidasi terhadap kumpulan penerbit autentikasi tepercaya. |
google_email |
Klaim opsional, yang akan digunakan jika klaim email dalam JWT ini berbeda dengan ID email Google Workspace pengguna. Klaim ini membawa identitas email Google Workspace pengguna. |
... |
Layanan Daftar Kontrol Akses Kunci (KACLS) Anda bebas menggunakan klaim lain (lokasi, klaim kustom, dll.) untuk mengevaluasi perimeter. |
Token autentikasi KACLS untuk PrivilegedUnwrap
Token pembawa (JWT: RFC 7516) yang diterbitkan oleh partner identitas (IdP) untuk membuktikan identitas pengguna.
Ini hanya digunakan di PrivilegedUnwrap
. Selama PrivilegedUnwrap
, jika JWT KACLS
digunakan sebagai pengganti token autentikasi IDP, KACLS penerima harus
mengambil JWKS penerbit terlebih dahulu, lalu memverifikasi tanda tangan token, sebelum
memeriksa klaim.
Representasi JSON | |
---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
Kolom | |
---|---|
aud |
Audiens, seperti yang diidentifikasi oleh IdP. Untuk operasi |
exp |
Waktu habis masa berlaku. |
iat |
Waktu penerbitan. |
iss |
Penerbit token. Harus divalidasi terhadap kumpulan penerbit autentikasi tepercaya. Harus cocok dengan |
kacls_url |
URL KACLS saat ini, tempat data didekripsi. |
resource_name |
ID untuk objek yang dienkripsi oleh DEK. Ukuran maksimum: 128 byte. |
... |
Layanan Daftar Kontrol Akses Kunci (KACLS) Anda bebas menggunakan klaim lain (lokasi, klaim kustom, dll.) untuk mengevaluasi perimeter. |