Tokeny uwierzytelniania

Token okaziciela (JWT: RFC 7516) wydany przez partnera ds. tożsamości (IdP) w celu potwierdzenia tożsamości użytkownika.

Zapis JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
Pola
aud

string

Odbiorcy zidentyfikowani przez dostawcę tożsamości. Należy sprawdzić, czy jest zgodna z konfiguracją lokalną.
email

string (UTF-8)

Adres e-mail użytkownika.
exp

string

Czas wygaśnięcia.
iat

string

Czas wydania.
iss

string

Wystawca tokena. Powinny być weryfikowane na podstawie zaufanego zestawu wystawców uwierzytelniania.
google_email

string

Opcjonalna deklaracja używana, gdy deklaracja dotycząca adresu e-mail w tym JWT różni się od identyfikatora e-mail użytkownika Google Workspace. To roszczenie zawiera tożsamość e-mail użytkownika Google Workspace.
...

Usługa listy kontroli dostępu do kluczy może bezpłatnie używać innych roszczeń (lokalizacji, roszczenia niestandardowego itp.) do oceny perymetru.

Token uwierzytelniania KACLS dla delegate

Token uwierzytelniający zawiera token sieciowy JSON (JWT) (JWT: RFC 7516), który jest tokenem uwierzytelniającym typu bearer.

Czasami użytkownik nie może uwierzytelnić się bezpośrednio na urządzeniu klienta. W takich przypadkach użytkownik może przekazać klientowi dostęp do określonego zasobu. Odbywa się to przez wydanie nowego tokena uwierzytelniania delegowanego, który ogranicza zakres oryginalnego tokena uwierzytelniania.

Delegowany token uwierzytelniania jest podobny do zwykłego tokena uwierzytelniania, ale zawiera jeszcze jedno dodatkowe roszczenie:

twierdzenie : stwierdzenie
delegated_to

string

Identyfikator podmiotu, któremu ma zostać przekazane uwierzytelnianie.

Roszczenie resource_name w tokenie uwierzytelniania jest w kontekście delegowania używane do identyfikowania obiektu zaszyfrowanego za pomocą klucza szyfrującego dane (DEK), dla którego delegowanie jest ważne.

Token jest wydawany przez usługę listy kontroli dostępu do kluczy (KACLS) za pomocą wywołania Delegate. Mogą to być tokeny JWT z podpisem własnym, które KACLS może zweryfikować, lub KACLS może użyć dowolnego innego dostawcy tożsamości, aby to zrobić, za pomocą zaufanego wywołania.

Aby token uwierzytelniania delegowanego został uznany za prawidłowy, dla tej samej operacji musi zostać podany token autoryzacji delegowanej. Token autoryzacji delegowanej jest podobny do zwykłego tokena autoryzacji, ale zawiera dodatkowe roszczenie delegated_to. Wartości roszczeń delegated_toresource_name muszą być zgodne z wartościami w tokenie uwierzytelniania delegowanego.

Aby uniknąć potencjalnego ponownego użycia w przypadku wycieku danych, zalecamy ustawienie czasu życia delegowanych tokenów uwierzytelniania na 15 minut.

Zapis JSON 
{
  "email": string,
  "iss": string,
  "aud": string,
  "exp": string,
  "iat": string,
  "google_email": string,
  "delegated_to": string,
  "resource_name": string
  ...
}
Pola
email

string (UTF-8)

Adres e-mail użytkownika w formacie UTF-8.
iss

string

Wydawca tokena powinien być weryfikowany na podstawie zaufanego zestawu wydawców uwierzytelniania.
aud

string

Odbiorcy zidentyfikowani przez dostawcę tożsamości. Należy sprawdzić, czy jest zgodna z konfiguracją lokalną.
exp

string

Czas wygaśnięcia powinien być sprawdzony.
iat

string

Czas wydania należy sprawdzić.
delegated_to

string

Identyfikator podmiotu, któremu ma zostać przekazane uwierzytelnianie.
resource_name

string

Identyfikator obiektu zaszyfrowanego za pomocą klucza DEK, dla którego delegowanie jest ważne.
...

Usługa KACLS może używać dowolnych innych roszczeń (lokalizacji, roszczenia niestandardowego itp.) do oceny obszaru.

Token uwierzytelniania KACLS dla PrivilegedUnwrap

Token okaziciela (JWT: RFC 7516) wydany przez partnera ds. tożsamości (IdP) w celu potwierdzenia tożsamości użytkownika.

Jest on używany tylko w przypadku PrivilegedUnwrap. Podczas PrivilegedUnwrap, jeśli zamiast tokena uwierzytelniania dostawcy tożsamości używany jest token JWT KACLS, odbiorca KACLS musi najpierw pobrać zestaw kluczy JWK wystawcy, a następnie zweryfikować podpis tokena przed sprawdzeniem deklaracji.

Zapis JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
Pola
aud

string

Odbiorcy zidentyfikowani przez dostawcę tożsamości. W przypadku operacji szyfrowania po stronie klienta na Dysku Google PrivilegedUnwrap ta wartość powinna wynosić kacls-migration.
exp

string

Czas wygaśnięcia.
iat

string

Czas wydania.
iss

string

Wystawca tokena. Powinny być weryfikowane na podstawie zaufanego zestawu wystawców uwierzytelniania. Musi być zgodny z wartością KACLS_URL żądającego KACLS. Zbiór kluczy publicznych wydawcy można znaleźć pod adresem /certs.
kacls_url

string

Adres URL bieżącego KACLS, na którym dane są odszyfrowywane.
resource_name

string

Identyfikator obiektu zaszyfrowany za pomocą klucza DEK. Maksymalny rozmiar: 128 bajtów.
...

Usługa listy kontroli dostępu do kluczy może bezpłatnie używać innych roszczeń (lokalizacji, roszczenia niestandardowego itp.) do oceny perymetru.