身份合作伙伴 (IdP) 颁发的不记名令牌 (JWT: RFC 7516),用于证明用户身份。
JSON 表示法 | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
字段 | |
---|---|
aud |
由 IdP 标识的受众群体。应根据本地配置进行检查。 |
email |
用户的电子邮件地址。 |
exp |
到期时间。 |
iat |
签发时间。 |
iss |
令牌颁发者。应针对受信任的身份验证颁发者集进行验证。 |
google_email |
可选声明,当此 JWT 中的电子邮件声明与用户的 Google Workspace 电子邮件 ID 不同时,要使用的声明。此声明包含用户的 Google Workspace 电子邮件身份。 |
... |
您的密钥访问控制列表服务 (KACLS) 可以自由使用任何其他声明(位置、自定义声明等)来评估边界。 |
“PrivilegedUnwrap
”的 KACLS 身份验证令牌
身份合作伙伴 (IdP) 颁发的不记名令牌 (JWT: RFC 7516),用于证明用户身份。
这仅适用于 PrivilegedUnwrap
。在 PrivilegedUnwrap
期间,如果使用 KACLS JWT 代替 IDP 身份验证令牌,则接收者 KACLS 必须首先提取颁发者的 JWKS,然后验证令牌签名,然后再检查声明。
JSON 表示法 | |
---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
字段 | |
---|---|
aud |
由 IdP 标识的受众群体。对于云端硬盘客户端加密 (CSE) |
exp |
到期时间。 |
iat |
签发时间。 |
iss |
令牌颁发者。应针对受信任的身份验证颁发者集进行验证。必须与发出请求的 KACLS 的 |
kacls_url |
用于解密数据的当前 KACLS 的网址。 |
resource_name |
由 DEK 加密的对象的标识符。大小上限:128 个字节。 |
... |
您的密钥访问控制列表服务 (KACLS) 可以自由使用任何其他声明(位置、自定义声明等)来评估边界。 |