Token di autenticazione

Token di connessione (JWT: RFC 7516) emessi dal partner di identità (IdP) per attestare l'identità di un utente.

Rappresentazione JSON
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
Campi
aud

string

Il segmento di pubblico, come identificato dall'IdP. Deve essere confrontato con la configurazione locale.

email

string (UTF-8)

L'indirizzo email dell'utente.

exp

string

Data di scadenza.

iat

string

Data/ora di emissione.

iss

string

L'emittente del token. Devono essere convalidati in base a un insieme attendibile di emittenti dell'autenticazione.

google_email

string

Rivendicazione facoltativa, da utilizzare quando la rivendicazione via email in questo JWT è diversa dall'ID email Google Workspace dell'utente. Questa dichiarazione contiene l'identità email Google Workspace dell'utente.

...

Il tuo Key Access Control List Service (KACLS) è libero di utilizzare qualsiasi altra attestazione (località, attestazione personalizzata e così via) per valutare il perimetro.

Token di autenticazione KACLS per PrivilegedUnwrap

Token di connessione (JWT: RFC 7516) emessi dal partner di identità (IdP) per attestare l'identità di un utente.

Viene utilizzato solo su PrivilegedUnwrap. Durante PrivilegedUnwrap, se un KACLS JWT viene utilizzato al posto di un token di autenticazione IdP, il KACLS del destinatario deve recupera prima il JWKS dell'emittente, poi verifica la firma del token controllare le rivendicazioni.

Rappresentazione JSON
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
Campi
aud

string

Il segmento di pubblico, come identificato dall'IdP. Per le operazioni PrivilegedUnwrap di crittografia lato client di Drive: dovrebbe essere kacls-migration.

exp

string

Data di scadenza.

iat

string

Data/ora di emissione.

iss

string

L'emittente del token. Devono essere convalidati in base a un insieme attendibile di emittenti dell'autenticazione. Deve corrispondere a KACLS_URL dei KACL che richiedono la richiesta. Il set di chiavi pubbliche dell'emittente è disponibile all'indirizzo /certs.

kacls_url

string

URL dei KACL attuali su cui vengono decriptati i dati.

resource_name

string

Identificatore dell'oggetto criptato dalla DEK. Dimensione massima: 128 byte.

...

Il tuo Key Access Control List Service (KACLS) è libero di utilizzare qualsiasi altra attestazione (località, attestazione personalizzata e così via) per valutare il perimetro.