الرموز المميزة للمصادقة

رمز مميّز لحامل البطاقة (JWT: RFC 7516) صادر عن شريك الهوية (IdP) لإثبات هوية المستخدم.

تمثيل JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
الحقول
aud

string

الجمهور، كما يحدّده موفّر الهوية يجب التحقّق من ذلك مقارنةً بالإعدادات على الجهاز.
email

string (UTF-8)

عنوان البريد الإلكتروني للمستخدِم
exp

string

وقت انتهاء الصلاحية
iat

string

وقت الإصدار
iss

string

تمثّل هذه السمة جهة إصدار الرمز المميّز. يجب التحقّق من صحة هذا المعرّف مقارنةً بمجموعة جهات إصدار المصادقة الموثوق بها.
google_email

string

مطالبة اختيارية، تُستخدَم عندما تكون مطالبة البريد الإلكتروني في رمز JWT هذا مختلفة عن معرّف البريد الإلكتروني للمستخدم في Google Workspace. يتضمّن هذا الادّعاء هوية البريد الإلكتروني للمستخدم على Google Workspace.
...

يمكن لخدمة قائمة التحكّم بالوصول إلى مفاتيح التشفير (KACLS) استخدام أي مطالبات أخرى (الموقع الجغرافي، والمطالبة المخصّصة، وما إلى ذلك) لتقييم المحيط.

رمز المصادقة المميز في KACLS لحساب delegate

يحتوي رمز المصادقة المميّز على رمز JSON المميّز للويب (JWT) (JWT: RFC 7516) وهو رمز مصادقة حامل.

في بعض الأحيان، لا يمكن للمستخدم إجراء المصادقة على جهاز العميل مباشرةً. في هذه الحالات، يمكن للمستخدم تفويض الوصول إلى مورد معيّن لهذا العميل. ويتم ذلك من خلال إصدار رمز مميز جديد للمصادقة المفوضة يحدّ من نطاق رمز المصادقة الأصلي.

يشبه رمز المصادقة المفوَّض رمز المصادقة العادي مع إضافة مطالبة واحدة:

ادعاء، مطالبة
delegated_to

string

معرّف للكيان الذي سيتم تفويض المصادقة إليه

يُستخدَم الادعاء resource_name في رمز المصادقة المميّز، في سياق التفويض، لتحديد العنصر المشفّر بواسطة مفتاح تشفير البيانات (DEK) الذي يكون التفويض صالحًا له.

يتم إصدار الرمز المميز من خلال خدمة قائمة التحكّم بالوصول إلى مفاتيح التشفير (KACLS) باستخدام طلب Delegate. يمكن أن تكون رموز JWT ذاتية التوقيع التي يمكن لخدمة KACLS التحقّق من صحتها، أو يمكن أن تستخدم خدمة KACLS أي موفّر هوية آخر لإجراء ذلك من خلال مكالمة موثوقة.

لكي يتم اعتبار رمز المصادقة المفوض صالحًا، يجب تقديم رمز تفويض مفوض لنفس العملية. يشبه رمز التفويض المفوض رمز التفويض العادي، ولكنه يتضمّن المطالبة الإضافية delegated_to. يجب أن تتطابق قيمتَي السمتَين delegated_to وresource_name مع القيم الواردة في رمز المصادقة المفوَّض.

ننصحك بتحديد قيمة مدة صلاحية تبلغ 15 دقيقة لرموز المصادقة المفوضة لتجنُّب إعادة استخدامها في حال تسرُّبها.

تمثيل JSON 
{
  "email": string,
  "iss": string,
  "aud": string,
  "exp": string,
  "iat": string,
  "google_email": string,
  "delegated_to": string,
  "resource_name": string
  ...
}
الحقول
email

string (UTF-8)

عنوان البريد الإلكتروني للمستخدم بتنسيق UTF-8.
iss

string

يجب التحقّق من صحة جهة إصدار الرمز المميز من خلال مجموعة موثوقة من جهات إصدار المصادقة.
aud

string

الجمهور، كما يحدّده موفّر الهوية يجب التحقّق من ذلك مقارنةً بالإعدادات على الجهاز.
exp

string

يجب التحقّق من وقت انتهاء الصلاحية.
iat

string

يجب التحقّق من وقت الإصدار.
delegated_to

string

معرّف للكيان الذي سيتم تفويض المصادقة إليه
resource_name

string

معرّف للعنصر المشفّر باستخدام مفتاح تشفير البيانات، والذي يكون التفويض صالحًا له.
...

يمكن لنظام KACLS استخدام أي مطالبات أخرى (الموقع الجغرافي، والمطالبة المخصّصة، وما إلى ذلك) لتقييم المحيط.

رمز المصادقة المميز في KACLS لحساب PrivilegedUnwrap

رمز مميّز لحامل البطاقة (JWT: RFC 7516) صادر عن شريك الهوية (IdP) لإثبات هوية المستخدم.

يتم استخدام هذا الخيار فقط على PrivilegedUnwrap. أثناء PrivilegedUnwrap، إذا تم استخدام رمز JWT من KACLS بدلاً من رمز مصادقة من موفّر الهوية، يجب أن يسترد KACLS الخاص بالمستلم أولاً مجموعة مفاتيح JSON الخاصة بجهة الإصدار، ثم يتحقّق من توقيع الرمز المميز، قبل التحقّق من المطالبات.

تمثيل JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
الحقول
aud

string

الجمهور، كما يحدّده موفّر الهوية بالنسبة إلى عمليات PrivilegedUnwrap التشفير من جهة العميل في Drive (CSE)، يجب أن تكون القيمة kacls-migration.
exp

string

وقت انتهاء الصلاحية
iat

string

وقت الإصدار
iss

string

تمثّل هذه السمة جهة إصدار الرمز المميّز. يجب التحقّق من صحة هذا المعرّف مقارنةً بمجموعة جهات إصدار المصادقة الموثوق بها. يجب أن تتطابق مع KACLS_URL لخدمة KACLS التي يتم إرسال الطلب منها. يمكن العثور على مجموعة المفاتيح العامة الخاصة بالجهة المصدرة على /certs.
kacls_url

string

عنوان URL لخدمة KACLS الحالية التي يتم فك تشفير البيانات عليها
resource_name

string

معرّف للعنصر المشفّر باستخدام مفتاح تشفير البيانات الحد الأقصى للحجم: 128 بايت.
...

يمكن لخدمة قائمة التحكّم بالوصول إلى مفاتيح التشفير (KACLS) استخدام أي مطالبات أخرى (الموقع الجغرافي، والمطالبة المخصّصة، وما إلى ذلك) لتقييم المحيط.