Token do portador (JWT: RFC 7516) emitido pelo parceiro de identidade (IdP) para atestar a identidade de um usuário.
Representação JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
Campos | |
---|---|
aud |
O público-alvo, conforme identificado pelo IdP. Precisa ser verificado em relação à configuração local. |
email |
O endereço de e-mail do usuário. |
exp |
Prazo de validade. |
iat |
Horário de emissão. |
iss |
O emissor do token. Precisa ser validado em relação ao conjunto confiável de emissores de autenticação. |
google_email |
Uma declaração opcional que será usada quando a declaração de e-mail neste JWT for diferente do ID de e-mail do Google Workspace do usuário. Essa declaração carrega a identidade de e-mail do Google Workspace do usuário. |
... |
Seu serviço de lista de controle de acesso a chaves (KACLS, na sigla em inglês) é livre para usar quaisquer outras reivindicações (local, reivindicação personalizada etc.) para avaliar o perímetro. |
Token de autenticação KACLS para PrivilegedUnwrap
Token do portador (JWT: RFC 7516) emitido pelo parceiro de identidade (IdP) para atestar a identidade de um usuário.
Isso é usado apenas no PrivilegedUnwrap
. Durante PrivilegedUnwrap
, se um JWT
KACLS for usado em vez de um token de autenticação do IdP, o destinatário KACLS precisará
primeiro buscar o JWKS do emissor e, em seguida, verificar a assinatura do token antes
de conferir as declarações.
Representação JSON | |
---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
Campos | |
---|---|
aud |
O público-alvo, conforme identificado pelo IdP. Para operações |
exp |
Prazo de validade. |
iat |
Horário de emissão. |
iss |
O emissor do token. Precisa ser validado em relação ao conjunto confiável de emissores de autenticação. Precisa corresponder ao |
kacls_url |
URL do KACLS atual, em que os dados estão sendo descriptografados. |
resource_name |
Um identificador para o objeto criptografado pela DEK. Tamanho máximo: 128 bytes. |
... |
Seu serviço de lista de controle de acesso a chaves (KACLS, na sigla em inglês) é livre para usar quaisquer outras reivindicações (local, reivindicação personalizada etc.) para avaliar o perímetro. |