Token otentikasi

Token pembawa (JWT: RFC 7516) yang diterbitkan oleh Partner Identitas (IdP) untuk membuktikan identitas pengguna.

Representasi JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
Kolom
aud

string

Audiens, seperti yang diidentifikasi oleh IdP. Harus diperiksa berdasarkan konfigurasi lokal.
email

string (UTF-8)

Alamat email pengguna.
exp

string

Waktu habis masa berlaku.
iat

string

Waktu penerbitan.
iss

string

Penerbit token. Harus divalidasi terhadap kumpulan penerbit autentikasi yang tepercaya.
google_email

string

Klaim opsional, yang akan digunakan jika klaim email di JWT ini berbeda dengan ID email Google Workspace pengguna. Klaim ini membawa identitas email Google Workspace pengguna.
...

Key Access Control List Service (KACLS) Anda tidak dikenai biaya untuk menggunakan klaim lain (lokasi, klaim kustom, dll.) untuk mengevaluasi perimeter.

Token autentikasi KACLS untuk PrivilegedUnwrap

Token pembawa (JWT: RFC 7516) yang diterbitkan oleh Partner Identitas (IdP) untuk membuktikan identitas pengguna.

Ini hanya digunakan pada PrivilegedUnwrap. Selama PrivilegedUnwrap, jika KACLS JWT digunakan sebagai pengganti token autentikasi IDP, KACLS penerima harus pertama-tama ambil JWKS penerbit, lalu verifikasi tanda tangan token, sebelum memeriksa klaim.

Representasi JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
Kolom
aud

string

Audiens, seperti yang diidentifikasi oleh IdP. Untuk operasi PrivilegedUnwrap enkripsi sisi klien (CSE) Drive, nilainya harus kacls-migration.
exp

string

Waktu habis masa berlaku.
iat

string

Waktu penerbitan.
iss

string

Penerbit token. Harus divalidasi terhadap kumpulan penerbit autentikasi yang tepercaya. Harus cocok dengan KACLS_URL KACLS yang meminta. Kumpulan kunci publik penerbit dapat ditemukan di /certs.
kacls_url

string

URL KACLS saat ini, tempat data sedang didekripsi.
resource_name

string

ID untuk objek yang dienkripsi oleh DEK. Ukuran maksimum: 128 byte.
...

Key Access Control List Service (KACLS) Anda tidak dikenai biaya untuk menggunakan klaim lain (lokasi, klaim kustom, dll.) untuk mengevaluasi perimeter.