사용자의 ID를 증명하기 위해 ID 파트너 (IdP)에서 발급한 Bearer 토큰 (JWT: RFC 7516)입니다.
JSON 표현 | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
필드 | |
---|---|
aud |
IdP에서 식별한 잠재고객입니다. 로컬 구성과 비교하여 확인해야 합니다. |
email |
사용자의 이메일 주소 |
exp |
만료 시간입니다. |
iat |
발급 시간입니다. |
iss |
토큰 발급기관입니다. 신뢰할 수 있는 인증 발급기관을 대상으로 검증해야 합니다. |
google_email |
이 JWT의 이메일 클레임이 사용자의 Google Workspace 이메일 ID와 다른 경우에 사용되는 클레임(선택사항)입니다. 이 클레임에는 사용자의 Google Workspace 이메일 ID가 포함됩니다. |
... |
키 액세스 제어 목록 서비스 (KACLS)는 다른 클레임 (위치, 커스텀 클레임 등)을 자유롭게 사용하여 경계를 평가할 수 있습니다. |
PrivilegedUnwrap
의 KACLS 인증 토큰
사용자의 ID를 증명하기 위해 ID 파트너 (IdP)에서 발급한 Bearer 토큰 (JWT: RFC 7516)입니다.
PrivilegedUnwrap
에서만 사용됩니다. PrivilegedUnwrap
중에 IDP 인증 토큰 대신 KACLS JWT가 사용되는 경우 수신자 KACLS는 먼저 발급기관의 JWKS를 가져온 후 토큰 서명을 확인한 후 클레임을 확인해야 합니다.
JSON 표현 | |
---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
필드 | |
---|---|
aud |
IdP에서 식별한 잠재고객입니다. Drive 클라이언트 측 암호화 (CSE) |
exp |
만료 시간입니다. |
iat |
발급 시간입니다. |
iss |
토큰 발급기관입니다. 신뢰할 수 있는 인증 발급기관을 대상으로 검증해야 합니다. 요청하는 KACLS의 |
kacls_url |
데이터가 복호화되는 현재 KACLS의 URL입니다. |
resource_name |
DEK로 암호화된 객체의 식별자입니다. 최대 크기: 128바이트. |
... |
키 액세스 제어 목록 서비스 (KACLS)는 다른 클레임 (위치, 커스텀 클레임 등)을 자유롭게 사용하여 경계를 평가할 수 있습니다. |