Token pembawa (JWT: RFC 7516) dikeluarkan oleh partner identitas (IdP) untuk membuktikan identitas pengguna.
| Representasi JSON | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
|
| Kolom | |
|---|---|
aud |
Audiens, seperti yang diidentifikasi oleh IdP. Harus diperiksa dengan konfigurasi lokal. |
email |
Alamat email pengguna. |
exp |
Waktu habis masa berlaku. |
iat |
Waktu penerbitan. |
iss |
Penerbit token. Harus divalidasi dengan kumpulan penerbit autentikasi yang tepercaya. |
google_email |
Klaim opsional, yang akan digunakan saat klaim email di JWT ini berbeda dengan ID email Google Workspace pengguna. Klaim ini menggunakan identitas email Google Workspace pengguna. |
... |
Key Access Control List Service (KACLS) Anda bebas menggunakan klaim lain (lokasi, klaim kustom, dll.) untuk mengevaluasi perimeter. |
Token autentikasi KACLS untuk PrivilegedUnwrap
Token pembawa (JWT: RFC 7516) dikeluarkan oleh partner identitas (IdP) untuk membuktikan identitas pengguna.
Ini hanya digunakan di PrivilegedUnwrap. Selama PrivilegedUnwrap, jika JWT KACLS digunakan sebagai pengganti token autentikasi IDP, KACLS penerima harus mengambil JWKS penerbit terlebih dahulu, lalu memverifikasi tanda tangan token sebelum memeriksa klaim.
| Representasi JSON | |
|---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
|
| Kolom | |
|---|---|
aud |
Audiens, seperti yang diidentifikasi oleh IdP. Untuk operasi |
exp |
Waktu habis masa berlaku. |
iat |
Waktu penerbitan. |
iss |
Penerbit token. Harus divalidasi dengan kumpulan penerbit autentikasi yang tepercaya. Harus cocok dengan |
kacls_url |
URL KACLS saat ini, tempat data sedang didekripsi. |
resource_name |
ID untuk objek yang dienkripsi oleh DEK. Ukuran maksimum: 128 byte. |
... |
Key Access Control List Service (KACLS) Anda bebas menggunakan klaim lain (lokasi, klaim kustom, dll.) untuk mengevaluasi perimeter. |