โทเค็น Bearer (JWT: RFC 7516) ที่ออกโดยพาร์ทเนอร์ข้อมูลประจำตัว (IdP) เพื่อยืนยันตัวตนของผู้ใช้
| การแสดง JSON | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
|
| ช่อง | |
|---|---|
aud |
กลุ่มเป้าหมายตามที่ระบุโดย IdP ควรตรวจสอบกับการกำหนดค่าในเครื่อง |
email |
อีเมลของผู้ใช้ |
exp |
เวลาหมดอายุ |
iat |
เวลาในการออกบัตร |
iss |
ผู้ออกโทเค็น ควรตรวจสอบกับชุดผู้ให้บริการตรวจสอบสิทธิ์ที่เชื่อถือได้ |
google_email |
การอ้างสิทธิ์ที่ไม่บังคับ ซึ่งจะใช้เมื่อการอ้างสิทธิ์อีเมลใน JWT นี้แตกต่างจากรหัสอีเมล Google Workspace ของผู้ใช้ การอ้างสิทธิ์นี้จะมีข้อมูลประจำตัวอีเมล Google Workspace ของผู้ใช้ |
... |
บริการรายการควบคุมการเข้าถึงคีย์ (KACLS) ของคุณสามารถใช้การอ้างสิทธิ์อื่นๆ (ตำแหน่ง การอ้างสิทธิ์ที่กำหนดเอง ฯลฯ) เพื่อประเมินขอบเขตได้โดยไม่มีค่าใช้จ่าย |
โทเค็นการตรวจสอบสิทธิ์ KACLS สำหรับ PrivilegedUnwrap
โทเค็น Bearer (JWT: RFC 7516) ที่ออกโดยพาร์ทเนอร์ข้อมูลประจำตัว (IdP) เพื่อยืนยันตัวตนของผู้ใช้
การดำเนินการนี้ใช้ได้เฉพาะใน PrivilegedUnwrap ในระหว่าง PrivilegedUnwrap หากใช้ KACLS JWT แทนโทเค็นการตรวจสอบสิทธิ์ IDP นั้น KACLS ผู้รับต้องดึงข้อมูล JWKS ของผู้ออกก่อน จากนั้นจึงยืนยันลายเซ็นโทเค็น แล้วจึงตรวจสอบการอ้างสิทธิ์
| การแสดง JSON | |
|---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
|
| ช่อง | |
|---|---|
aud |
กลุ่มเป้าหมายตามที่ระบุโดย IdP สำหรับการดำเนินการ |
exp |
เวลาหมดอายุ |
iat |
เวลาในการออกบัตร |
iss |
ผู้ออกโทเค็น ควรตรวจสอบกับชุดผู้ให้บริการตรวจสอบสิทธิ์ที่เชื่อถือได้ ต้องตรงกับ |
kacls_url |
URL ของ KACLS ปัจจุบันที่ข้อมูลกำลังได้รับการถอดรหัส |
resource_name |
ตัวระบุสำหรับออบเจ็กต์ที่เข้ารหัสโดย DEK ขนาดสูงสุด: 128 ไบต์ |
... |
บริการรายการควบคุมการเข้าถึงคีย์ (KACLS) ของคุณสามารถใช้การอ้างสิทธิ์อื่นๆ (ตำแหน่ง การอ้างสิทธิ์ที่กำหนดเอง ฯลฯ) เพื่อประเมินขอบเขตได้ |