אסימוני אימות

אסימון למוכ"ז (JWT: RFC 7516) שהונפקו על ידי שותף הזהויות (IdP) כדי לאמת את זהות המשתמש.

ייצוג JSON
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
שדות
aud

string

הקהל, כפי שזוהה על ידי ה-IdP. יש לבדוק מול התצורה המקומית.

email

string (UTF-8)

כתובת האימייל של המשתמש.

exp

string

מועד תפוגה.

iat

string

זמן הנפקה.

iss

string

מנפיק האסימון. צריך לבצע אימות מול קבוצה מהימנה של מנפיקי אימות.

google_email

string

תלונה אופציונלית, לשימוש כאשר הצהרת הבעלות על האימייל ב-JWT הזה שונה ממזהה האימייל של המשתמש ב-Google Workspace. הצהרה על זכויות יוצרים כולל את זהות האימייל של המשתמש ב-Google Workspace.

...

שירות רשימת בקרת הגישה למפתחות (KACLS) יכול להשתמש בכל הצהרה אחרת (מיקום, תלונה מותאמת אישית וכו') כדי להעריך את ההיקף.

אסימון אימות KACLS עבור PrivilegedUnwrap

אסימון למוכ"ז (JWT: RFC 7516) שהונפקו על ידי שותף הזהויות (IdP) כדי לאמת את זהות המשתמש.

האפשרות הזו בשימוש רק ב-PrivilegedUnwrap. במהלך PrivilegedUnwrap, אם הפקודה KACLS משתמשים ב-JWT במקום באסימון אימות IdP, נמען KACLS חייב קודם כול מאחזרים את ה-JWKS של המנפיק ואז מאמתים את חתימת האסימון בדיקת התלונות.

ייצוג JSON
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
שדות
aud

string

הקהל, כפי שזוהה על ידי ה-IdP. בפעולות של PrivilegedUnwrap להצפנה מצד הלקוח (CSE) ב-Drive: זה צריך להיות kacls-migration.

exp

string

מועד תפוגה.

iat

string

זמן הנפקה.

iss

string

מנפיק האסימון. צריך לבצע אימות מול קבוצה מהימנה של מנפיקי אימות. חייב להתאים ל-KACLS_URL של ה-KACLS שמבקשים. אפשר למצוא את קבוצת המפתחות הציבוריים של המנפיק בכתובת /certs.

kacls_url

string

כתובת ה-URL של ה-KACLS הנוכחי, שבו הנתונים מפוענחים.

resource_name

string

מזהה של האובייקט שהוצפן על ידי ה-DEK. גודל מקסימלי: 128 בייטים.

...

שירות רשימת בקרת הגישה למפתחות (KACLS) יכול להשתמש בכל הצהרה אחרת (מיקום, תלונה מותאמת אישית וכו') כדי להעריך את ההיקף.