Jetons d'authentification

Jeton de support (JWT : RFC 7516) émis par le partenaire d'identité (IdP) pour attester de l'identité d'un utilisateur.

Représentation JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
Champs
aud

string

Audience, telle qu'identifiée par le fournisseur d'identité. Doit être vérifié par rapport à la configuration locale.
email

string (UTF-8)

Adresse e-mail de l'utilisateur.
exp

string

Date d'expiration.
iat

string

Heure d'émission.
iss

string

Émetteur de jeton. Doit être validé par rapport à l'ensemble approuvé d'émetteurs d'authentification.
google_email

string

Revendication facultative à utiliser lorsque la revendication d'adresse e-mail dans ce JWT est différente de l'adresse e-mail Google Workspace de l'utilisateur. Cette revendication contient l'identité de l'adresse e-mail Google Workspace de l'utilisateur.
...

Votre service de liste de contrôle d'accès aux clés (KACLS) est libre d'utiliser d'autres revendications (emplacement, revendication personnalisée, etc.) pour évaluer le périmètre.

Jeton d'authentification KACLS pour delegate

Le jeton d'authentification contient un jeton Web JSON (JWT) (JWT : RFC 7516) qui est un jeton d'authentification de support.

Parfois, un utilisateur n'est pas en mesure de s'authentifier directement sur un client. Dans ce cas, l'utilisateur peut déléguer son accès à une ressource spécifique à ce client. Pour ce faire, un nouveau jeton d'authentification délégué est émis, ce qui limite le champ d'application du jeton d'authentification d'origine.

Le jeton d'authentification déléguée est semblable au jeton d'authentification ordinaire, mais comporte une revendication supplémentaire :

revendication
delegated_to

string

Identifiant de l'entité à laquelle déléguer l'authentification.

Dans un contexte de délégation, la revendication resource_name du jeton d'authentification est utilisée pour identifier l'objet chiffré par la clé de chiffrement des données (DEK) pour laquelle la délégation est valide.

Le jeton est émis par le service de liste de contrôle d'accès aux clés (KACLS) à l'aide de l'appel Delegate. Il peut s'agir de jetons JWT autosignés que KACLS est en mesure de valider, ou KACLS peut utiliser n'importe quel autre IdP pour ce faire, via un appel de confiance.

Pour que le jeton d'authentification déléguée soit considéré comme valide, un jeton d'autorisation déléguée doit être fourni pour la même opération. Le jeton d'autorisation déléguée est semblable au jeton d'autorisation ordinaire, mais contient la revendication supplémentaire delegated_to. Les valeurs des revendications delegated_to et resource_name doivent correspondre à celles du jeton d'authentification déléguée.

Nous vous recommandons de définir une durée de vie de 15 minutes pour les jetons d'authentification déléguée afin d'éviter toute réutilisation potentielle en cas de fuite.

Représentation JSON 
{
  "email": string,
  "iss": string,
  "aud": string,
  "exp": string,
  "iat": string,
  "google_email": string,
  "delegated_to": string,
  "resource_name": string
  ...
}
Champs
email

string (UTF-8)

Adresse e-mail de l'utilisateur au format UTF-8.
iss

string

L'émetteur du jeton doit être validé par rapport à l'ensemble approuvé d'émetteurs d'authentification.
aud

string

Audience, telle qu'identifiée par le fournisseur d'identité. Doit être vérifié par rapport à la configuration locale.
exp

string

Le délai d'expiration doit être vérifié.
iat

string

L'heure d'émission doit être vérifiée.
delegated_to

string

Identifiant de l'entité à laquelle déléguer l'authentification.
resource_name

string

Identifiant de l'objet chiffré par la clé DEK pour lequel la délégation est valide.
...

Le KACLS est libre d'utiliser toute autre revendication (lieu, revendication personnalisée, etc.) pour évaluer le périmètre.

Jeton d'authentification KACLS pour PrivilegedUnwrap

Jeton de support (JWT : RFC 7516) émis par le partenaire d'identité (IdP) pour attester de l'identité d'un utilisateur.

Cette option n'est disponible que sur PrivilegedUnwrap. Lors de l'PrivilegedUnwrap, si un jeton JWT KACLS est utilisé à la place d'un jeton d'authentification IdP, le KACLS destinataire doit d'abord récupérer le JWKS de l'émetteur, puis vérifier la signature du jeton, avant de vérifier les revendications.

Représentation JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
Champs
aud

string

Audience, telle qu'identifiée par le fournisseur d'identité. Pour les opérations de chiffrement côté client (CSE) Drive PrivilegedUnwrap, cette valeur doit être kacls-migration.
exp

string

Date d'expiration.
iat

string

Heure d'émission.
iss

string

Émetteur de jeton. Doit être validé par rapport à l'ensemble approuvé d'émetteurs d'authentification. Doit correspondre au KACLS_URL du KACLS demandeur. L'ensemble de clés publiques de l'émetteur est disponible sur /certs.
kacls_url

string

URL du KACLS actuel sur lequel les données sont déchiffrées.
resource_name

string

Identifiant de l'objet chiffré par la clé de chiffrement des données. Taille maximale : 128 octets.
...

Votre service de liste de contrôle d'accès aux clés (KACLS) est libre d'utiliser d'autres revendications (emplacement, revendication personnalisée, etc.) pour évaluer le périmètre.