Bearer 토큰 (JWT: RFC 7516) 사용자 ID를 증명하기 위해 ID 파트너 (IdP)에서 발급
| JSON 표현 | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
|
| 필드 | |
|---|---|
aud |
IdP에서 식별한 대상입니다. 로컬 구성과 비교하여 확인해야 합니다. |
email |
사용자의 이메일 주소 |
exp |
만료 시간입니다. |
iat |
발급 시간입니다. |
iss |
토큰 발급기관입니다. 신뢰할 수 있는 인증 발급기관을 통해 검증해야 합니다. |
google_email |
이 JWT의 이메일 클레임이 사용자의 Google Workspace 이메일 ID와 다를 때 사용할 선택적 클레임입니다. 이 소유권 주장 사용자의 Google Workspace 이메일 ID를 전달합니다. |
... |
키 액세스 제어 목록 서비스 (KACLS)는 다른 클레임 (위치, 커스텀 클레임 등)을 자유롭게 사용하여 경계를 평가할 수 있습니다. |
PrivilegedUnwrap의 KACLS 인증 토큰
Bearer 토큰 (JWT: RFC 7516) 사용자 ID를 증명하기 위해 ID 파트너 (IdP)에서 발급
PrivilegedUnwrap에서만 사용됩니다. PrivilegedUnwrap 중(KACLS인 경우)
JWT가 IDP 인증 토큰 대신 사용되며 수신자 KACLS는
먼저 발급자의 JWKS를 가져온 다음 토큰 서명을 검증한 다음
소유권 주장을 확인합니다
| JSON 표현 | |
|---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
|
| 필드 | |
|---|---|
aud |
IdP에서 식별한 대상입니다. Drive 클라이언트 측 암호화 (CSE) |
exp |
만료 시간입니다. |
iat |
발급 시간입니다. |
iss |
토큰 발급기관입니다. 신뢰할 수 있는 인증 발급기관을 통해 검증해야 합니다. 요청하는 KACLS의 |
kacls_url |
데이터가 복호화되는 현재 KACLS의 URL입니다. |
resource_name |
DEK로 암호화된 객체의 식별자입니다. 최대 크기: 128바이트 |
... |
키 액세스 제어 목록 서비스 (KACLS)는 다른 클레임 (위치, 커스텀 클레임 등)을 자유롭게 사용하여 경계를 평가할 수 있습니다. |