ユーザーの ID を証明するために ID パートナー(IdP)によって発行される署名なしトークン(JWT: RFC 7516)。
| JSON 表現 | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
|
| フィールド | |
|---|---|
aud |
IdP によって識別されたオーディエンス。ローカル構成と照らし合わせてチェックする必要があります。 |
email |
ユーザーのメール アドレスです。 |
exp |
有効期限。 |
iat |
発行時間。 |
iss |
トークン発行者。信頼できる認証発行元のセットと照らし合わせて検証する必要があります。 |
google_email |
この JWT のメール クレームがユーザーの Google Workspace メール ID と異なる場合に使用されるオプションのクレーム。このクレームにはユーザーの Google Workspace メール ID が含まれます。 |
... |
鍵アクセス制御リストサービス(KACLS)では、境界の評価に他のクレーム(ロケーション、カスタム クレームなど)を自由に使用できます。 |
PrivilegedUnwrap の KACLS 認証トークン
ユーザーの ID を証明するために ID パートナー(IdP)によって発行される署名なしトークン(JWT: RFC 7516)。
これは PrivilegedUnwrap でのみ使用されます。PrivilegedUnwrap で、IDP 認証トークンの代わりに KACLS JWT を使用する場合、受信者 KACLS はクレームを確認する前に、まずカード発行会社の JWKS を取得してからトークンの署名を検証する必要があります。
| JSON 表現 | |
|---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
|
| フィールド | |
|---|---|
aud |
IdP によって識別されたオーディエンス。ドライブのクライアントサイド暗号化(CSE) |
exp |
有効期限。 |
iat |
発行時間。 |
iss |
トークン発行者。信頼できる認証発行元のセットと照らし合わせて検証する必要があります。リクエスト元の KACLS の |
kacls_url |
データが復号される現在の KACL の URL。 |
resource_name |
DEK によって暗号化されたオブジェクトの識別子。最大サイズ: 128 バイト。 |
... |
鍵アクセス制御リストサービス(KACLS)では、境界の評価に他のクレーム(ロケーション、カスタム クレームなど)を自由に使用できます。 |