Jetons d'authentification

Jeton de support (JWT: RFC 7516) émis par le partenaire d'identité (IdP) pour attester de l'identité d'un utilisateur.

Représentation JSON
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
Champs
aud

string

Audience, telle qu'elle est identifiée par le fournisseur d'identité. Doit être vérifié par rapport à la configuration locale.

email

string (UTF-8)

Adresse e-mail de l'utilisateur.

exp

string

Délai d'expiration.

iat

string

Heure d'émission.

iss

string

Émetteur de jeton. Elle doit être validée par rapport à l'ensemble d'émetteurs d'authentification approuvés.

google_email

string

Revendication facultative, à utiliser lorsque la revendication d'adresse e-mail dans ce jeton JWT est différente de l'ID d'adresse e-mail Google Workspace de l'utilisateur. Cette revendication contient l'identité de messagerie Google Workspace de l'utilisateur.

...

Votre service de liste de contrôle d'accès aux clés (KACLS) est libre d'utiliser toute autre revendication (emplacement, revendication personnalisée, etc.) pour évaluer le périmètre.

Jeton d'authentification KACLS pour PrivilegedUnwrap

Jeton de support (JWT: RFC 7516) émis par le partenaire d'identité (IdP) pour attester de l'identité d'un utilisateur.

Il n'est utilisé que sur PrivilegedUnwrap. Pendant PrivilegedUnwrap, si un KACLS JWT est utilisé à la place d'un jeton d'authentification IdP, la liste KACLS destinataire doit commencez par récupérer le code JWKS de l'émetteur, puis vérifiez la signature du jeton, avant en vérifiant les déclarations.

Représentation JSON
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
Champs
aud

string

Audience, telle qu'elle est identifiée par le fournisseur d'identité. Pour les opérations Drive de chiffrement côté client (CSE) PrivilegedUnwrap, kacls-migration.

exp

string

Délai d'expiration.

iat

string

Heure d'émission.

iss

string

Émetteur de jeton. Elle doit être validée par rapport à l'ensemble d'émetteurs d'authentification approuvés. Doit correspondre au KACLS_URL de la requête KACLS à l'origine de la demande. L'ensemble de clés publiques de l'émetteur est disponible à l'adresse /certs.

kacls_url

string

URL de la clé KACLS actuelle sur laquelle les données sont déchiffrées.

resource_name

string

Identifiant de l'objet chiffré par la DEK. Taille maximale: 128 octets.

...

Votre service de liste de contrôle d'accès aux clés (KACLS) est libre d'utiliser toute autre revendication (emplacement, revendication personnalisée, etc.) pour évaluer le périmètre.