אסימוני אימות

אסימון למוכ"ז (JWT: RFC 7516) שהונפק על ידי שותף הזהויות (IdP) כדי לאמת את זהות המשתמש.

ייצוג JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
שדות
aud

string

הקהל, כפי שזוהה על ידי ספק הזהויות. יש לבדוק אותו מול התצורה המקומית.
email

string (UTF-8)

זוהי כתובת האימייל של המשתמש.
exp

string

מועד תפוגה.
iat

string

מועד ההנפקה.
iss

string

מנפיק האסימון צריך לאמת אותו מול הקבוצה המהימנה של מנפיקי האימות.
google_email

string

זוהי תלונה אופציונלית שייעשה בה שימוש כאשר הצהרת האימייל ב-JWT הזה שונה ממזהה האימייל של המשתמש ב-Google Workspace. התלונה הזו כוללת את זהות האימייל של המשתמש ב-Google Workspace.
...

לשירות רשימת בקרת הגישה (KACLS) יש אפשרות להשתמש בכל הצהרה אחרת (מיקום, תלונה מותאמת אישית וכו') כדי להעריך את המתחם.

אסימון אימות KACLS של PrivilegedUnwrap

אסימון למוכ"ז (JWT: RFC 7516) שהונפק על ידי שותף הזהויות (IdP) כדי לאמת את זהות המשתמש.

האפשרות הזו בשימוש רק ב-PrivilegedUnwrap. במהלך PrivilegedUnwrap, אם נעשה שימוש ב-JWT ב-KACLS במקום באסימון אימות IDP, קודם צריך לאחזר את ה-JWKS של המנפיק ואז לאמת את חתימת האסימון, לפני בדיקת ההצהרות.

ייצוג JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
שדות
aud

string

הקהל, כפי שזוהה על ידי ספק הזהויות. לפעולות של PrivilegedUnwrap בהצפנה מצד הלקוח (CSE) ב-Drive, הערך צריך להיות kacls-migration.
exp

string

מועד תפוגה.
iat

string

מועד ההנפקה.
iss

string

מנפיק האסימון צריך לאמת אותו מול הקבוצה המהימנה של מנפיקי האימות. חייב להתאים ל-KACLS_URL של ה-KACLS המבוקשים. אפשר למצוא את קבוצת המפתחות הציבורי של המנפיק בכתובת /certs.
kacls_url

string

כתובת ה-URL של רשימות ה-KACLS הנוכחיות, שבהן מפוענח נתונים.
resource_name

string

מזהה של האובייקט שהוצפן על ידי ה-DEK. גודל מקסימלי: 128 בייטים.
...

לשירות רשימת בקרת הגישה (KACLS) יש אפשרות להשתמש בכל הצהרה אחרת (מיקום, תלונה מותאמת אישית וכו') כדי להעריך את המתחם.