Halaman ini diterjemahkan oleh Cloud Translation API.

Token autentikasi

Token pemilik (JWT: RFC 7516) yang dikeluarkan oleh partner identitas (IdP) untuk membuktikan identitas pengguna.

Representasi JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... }

Kolom
`aud`	`string` Audiens, sebagaimana diidentifikasi oleh IdP. Harus diperiksa berdasarkan konfigurasi lokal.
`email`	`string (UTF-8)` Alamat email pengguna.
`exp`	`string` Waktu habis masa berlaku.
`iat`	`string` Waktu penerbitan.
`iss`	`string` Penerbit token. Harus divalidasi terhadap kumpulan penerbit autentikasi tepercaya.
`google_email`	`string` Klaim opsional, yang akan digunakan jika klaim email di JWT ini berbeda dengan ID email Google Workspace pengguna. Klaim ini membawa identitas email Google Workspace pengguna.
`...`	Layanan Daftar Kontrol Akses Kunci (KACLS) Anda bebas menggunakan klaim lain (lokasi, klaim kustom, dll.) untuk mengevaluasi perimeter.

Token autentikasi KACLS untuk `delegate`

Token autentikasi berisi Token Web JSON (JWT) (JWT: RFC 7516) yang merupakan token autentikasi pemilik.

Terkadang, pengguna tidak dapat melakukan autentikasi langsung di klien. Dalam kasus ini, pengguna dapat mendelegasikan akses mereka ke resource tertentu untuk klien tersebut. Hal ini dicapai dengan menerbitkan token autentikasi yang didelegasikan baru yang membatasi cakupan token autentikasi asli.

Token autentikasi yang didelegasikan mirip dengan token autentikasi biasa dengan satu klaim tambahan:

klaim

klaim
`delegated_to`	`string` ID untuk entitas yang akan didelegasikan autentikasinya.

delegated_to

string

ID untuk entitas yang akan didelegasikan autentikasinya.

Klaim resource_name dalam token autentikasi, dalam konteks delegasi, digunakan untuk mengidentifikasi objek yang dienkripsi oleh Kunci Enkripsi Data (DEK) yang valid untuk delegasi.

Token dikeluarkan oleh Layanan Daftar Kontrol Akses Kunci (KACLS) menggunakan panggilan Delegate. JWT yang ditandatangani sendiri yang dapat divalidasi oleh KACLS, atau KACLS dapat menggunakan IdP lain untuk melakukannya, melalui panggilan tepercaya.

Agar token autentikasi yang didelegasikan dianggap valid, token otorisasi yang didelegasikan harus diberikan untuk operasi yang sama. Token otorisasi yang didelegasikan serupa dengan token otorisasi biasa, tetapi berisi klaim tambahan delegated_to. Nilai klaim delegated_to dan resource_name harus cocok dengan nilai dalam token autentikasi yang didelegasikan.

Sebaiknya tetapkan nilai masa aktif 15 menit untuk token autentikasi yang didelegasikan guna menghindari potensi penggunaan ulang jika terjadi kebocoran.

Representasi JSON
{ "email": string, "iss": string, "aud": string, "exp": string, "iat": string, "google_email": string, "delegated_to": string, "resource_name": string ... }

Kolom
`email`	`string (UTF-8)` Alamat email pengguna yang diformat UTF-8.
`iss`	`string` Penerbit token harus divalidasi terhadap kumpulan penerbit autentikasi tepercaya.
`aud`	`string` Audiens, sebagaimana diidentifikasi oleh IdP. Harus diperiksa berdasarkan konfigurasi lokal.
`exp`	`string` Waktu habis masa berlaku harus diperiksa.
`iat`	`string` Waktu penerbitan, harus diperiksa.
`delegated_to`	`string` ID untuk entitas yang akan didelegasikan autentikasinya.
`resource_name`	`string` ID untuk objek yang dienkripsi oleh DEK, yang delegasinya valid.
`...`	KACLS bebas menggunakan klaim lain (lokasi, klaim kustom, dll.) untuk mengevaluasi perimeter.

Token autentikasi KACLS untuk `PrivilegedUnwrap`

Token pemilik (JWT: RFC 7516) yang dikeluarkan oleh partner identitas (IdP) untuk membuktikan identitas pengguna.

Opsi ini hanya digunakan di PrivilegedUnwrap. Selama PrivilegedUnwrap, jika JWT KACLS digunakan sebagai pengganti token autentikasi IDP, KACLS penerima harus mengambil JWKS penerbit terlebih dahulu, lalu memverifikasi tanda tangan token, sebelum memeriksa klaim.

Representasi JSON
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... }

Kolom
`aud`	`string` Audiens, sebagaimana diidentifikasi oleh IdP. Untuk operasi enkripsi sisi klien (CSE) `PrivilegedUnwrap` Drive, nilai ini harus `kacls-migration`.
`exp`	`string` Waktu habis masa berlaku.
`iat`	`string` Waktu penerbitan.
`iss`	`string` Penerbit token. Harus divalidasi terhadap kumpulan penerbit autentikasi tepercaya. Harus cocok dengan `KACLS_URL` dari KACLS yang meminta. Kumpulan kunci publik penerbit dapat ditemukan di `/certs`.
`kacls_url`	`string` URL KACLS saat ini, tempat data didekripsi.
`resource_name`	`string` ID untuk objek yang dienkripsi oleh DEK. Ukuran maksimum: 128 byte.
`...`	Layanan Daftar Kontrol Akses Kunci (KACLS) Anda bebas menggunakan klaim lain (lokasi, klaim kustom, dll.) untuk mengevaluasi perimeter.

Token autentikasi Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Token autentikasi KACLS untuk delegate

Token autentikasi KACLS untuk PrivilegedUnwrap

Token autentikasi

Token autentikasi KACLS untuk `delegate`

Token autentikasi KACLS untuk `PrivilegedUnwrap`