Authentifizierungs-Tokens

Inhabertoken (JWT: RFC 7516), das vom Identitätspartner (IdP) ausgestellt wird, um die Identität eines Nutzers zu bestätigen.

JSON-Darstellung 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
Felder
aud

string

Die vom IdP identifizierte Zielgruppe. Sollte mit der lokalen Konfiguration abgeglichen werden.
email

string (UTF-8)

Die E-Mail-Adresse des Nutzers.
exp

string

Ablaufzeit.
iat

string

Ausstellungszeit.
iss

string

Der Tokenaussteller. Sollte anhand der vertrauenswürdigen Authentifizierungsaussteller validiert werden.
google_email

string

Eine optionale Anforderung, die verwendet wird, wenn sich die E-Mail-Anforderung in diesem JWT von der Google Workspace-E-Mail-ID des Nutzers unterscheidet. Dieser Anspruch enthält die E-Mail-Identität des Nutzers in Google Workspace.
...

Ihr Key Access Control List Service (KACLS) kann beliebige andere Berechtigungen (Standort, benutzerdefinierte Berechtigung usw.) verwenden, um den Perimeter zu bewerten.

KACLS-Authentifizierungstoken für PrivilegedUnwrap

Inhabertoken (JWT: RFC 7516), das vom Identitätspartner (IdP) ausgestellt wird, um die Identität eines Nutzers zu bestätigen.

Diese Option wird nur auf PrivilegedUnwrap verwendet. Wenn während PrivilegedUnwrap anstelle eines IDP-Authentifizierungstokens ein KACLS-JWT verwendet wird, muss der Empfänger-KACLS zuerst das JWKS des Ausstellers abrufen und dann die Tokensignatur überprüfen, bevor die Ansprüche geprüft werden.

JSON-Darstellung 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
Felder
aud

string

Die vom IdP angegebene Zielgruppe. Für PrivilegedUnwrap-Vorgänge der clientseitigen Verschlüsselung (Client-side Encryption, CSE) in Drive sollte dies kacls-migration sein.
exp

string

Ablaufzeit.
iat

string

Ausstellungszeit.
iss

string

Der Tokenaussteller. Sollte anhand der vertrauenswürdigen Authentifizierungsaussteller validiert werden. Muss mit der KACLS_URL der anfordernden KACLS übereinstimmen. Der öffentliche Schlüsselsatz des Ausstellers befindet sich unter /certs.
kacls_url

string

URL der aktuellen KACLS, auf der die Daten entschlüsselt werden.
resource_name

string

Eine Kennung für das Objekt, das mit dem DEK verschlüsselt wurde. Maximale Größe: 128 Byte.
...

Ihr Key Access Control List Service (KACLS) kann beliebige andere Berechtigungen (Standort, benutzerdefinierte Berechtigung usw.) verwenden, um den Perimeter zu bewerten.