Token di autenticazione

Token bearer (JWT: RFC 7516) rilasciato dal partner di identità (IdP) per attestare l'identità di un utente.

Rappresentazione JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
Campi
aud

string

Il segmento di pubblico, identificato dall'IDP. Deve essere controllato in base alla configurazione locale.
email

string (UTF-8)

L'indirizzo email dell'utente.
exp

string

Data e ora di scadenza.
iat

string

Ora di rilascio.
iss

string

L'emittente del token. Deve essere convalidato in base all'insieme attendibile di emittenti di autenticazione.
google_email

string

Un'affermazione facoltativa da utilizzare quando l'affermazione email in questo JWT è diversa dall'ID indirizzo email di Google Workspace dell'utente. Questo reclamo contiene l'identità email di Google Workspace dell'utente.
...

Il servizio elenco di controllo dell'accesso per le chiavi (KACLS) è libero di utilizzare qualsiasi altro claim (posizione, claim personalizzato e così via) per valutare il perimetro.

Token di autenticazione KACLS per PrivilegedUnwrap

Token bearer (JWT: RFC 7516) rilasciato dal partner di identità (IdP) per attestare l'identità di un utente.

Viene utilizzato solo su PrivilegedUnwrap. Durante PrivilegedUnwrap, se al posto di un token di autenticazione dell'IDP viene utilizzato un JWT KACLS, il KACLS del destinatario deve prima recuperare i JWKS dell'emittente, quindi verificare la firma del token, prima di controllare i claim.

Rappresentazione JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
Campi
aud

string

Il segmento di pubblico, identificato dall'IDP. Per le operazioni PrivilegedUnwrap di crittografia lato client di Drive, deve essere kacls-migration.
exp

string

Data e ora di scadenza.
iat

string

Ora di rilascio.
iss

string

L'emittente del token. Deve essere convalidato in base all'insieme attendibile di emittenti di autenticazione. Deve corrispondere al KACLS_URL del KACLS che effettua la richiesta. L'insieme di chiavi pubbliche dell'emittente è disponibile all'indirizzo /certs.
kacls_url

string

URL dell'attuale KACLS su cui vengono decriptati i dati.
resource_name

string

Un identificatore per l'oggetto criptato dal DEK. Dimensione massima: 128 byte.
...

Il servizio elenco di controllo dell'accesso per le chiavi (KACLS) è libero di utilizzare qualsiasi altro claim (posizione, claim personalizzato e così via) per valutare il perimetro.