โทเค็นของผู้ถือ (JWT: RFC 7516) ที่ออกโดยพาร์ทเนอร์ข้อมูลประจำตัว (IdP) เพื่อยืนยันข้อมูลประจำตัวของผู้ใช้
| การแสดง JSON | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
|
| ช่อง | |
|---|---|
aud |
กลุ่มเป้าหมายตามที่ระบุโดย IdP ควรตรวจสอบกับการกำหนดค่าภายในเครื่อง |
email |
อีเมลของผู้ใช้ |
exp |
เวลาหมดอายุ |
iat |
เวลาในการออกบัตร |
iss |
ผู้ออกโทเค็น ควรตรวจสอบกับชุดผู้ออกการตรวจสอบสิทธิ์ที่เชื่อถือได้ |
google_email |
การอ้างสิทธิ์ที่ไม่บังคับ สำหรับใช้เมื่อการอ้างสิทธิ์อีเมลใน JWT นี้แตกต่างจากรหัสอีเมล Google Workspace ของผู้ใช้ การอ้างสิทธิ์นี้จะเก็บข้อมูลประจำตัวอีเมล Google Workspace ของผู้ใช้ไว้ |
... |
คุณสามารถใช้การอ้างสิทธิ์อื่นๆ (สถานที่ตั้ง การอ้างสิทธิ์ที่กำหนดเอง ฯลฯ) เพื่อประเมินขอบเขตบริการรายการควบคุมการเข้าถึงคีย์ (KACLS) ได้ฟรี |
โทเค็นการตรวจสอบสิทธิ์ KACLS สำหรับ PrivilegedUnwrap
โทเค็นของผู้ถือ (JWT: RFC 7516) ที่ออกโดยพาร์ทเนอร์ข้อมูลประจำตัว (IdP) เพื่อยืนยันข้อมูลประจำตัวของผู้ใช้
ใช้ใน PrivilegedUnwrap เท่านั้น ในช่วง PrivilegedUnwrap หากใช้ KACLS JWT แทนโทเค็นการตรวจสอบสิทธิ์ของ IDP ผู้รับ KACLS จะต้องดึงข้อมูล JWKS ของผู้ออกก่อน จากนั้นจึงยืนยันลายเซ็นโทเค็นก่อนที่จะตรวจสอบการอ้างสิทธิ์
| การแสดง JSON | |
|---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
|
| ช่อง | |
|---|---|
aud |
กลุ่มเป้าหมายตามที่ระบุโดย IdP สำหรับการดำเนินการ |
exp |
เวลาหมดอายุ |
iat |
เวลาในการออกบัตร |
iss |
ผู้ออกโทเค็น ควรตรวจสอบกับชุดผู้ออกการตรวจสอบสิทธิ์ที่เชื่อถือได้ ต้องตรงกับ |
kacls_url |
URL ของ KACLS ปัจจุบัน ซึ่งมีการถอดรหัสข้อมูลอยู่ |
resource_name |
ตัวระบุสำหรับออบเจ็กต์ที่เข้ารหัสโดย DEK ขนาดสูงสุด: 128 ไบต์ |
... |
คุณสามารถใช้การอ้างสิทธิ์อื่นๆ (สถานที่ตั้ง การอ้างสิทธิ์ที่กำหนดเอง ฯลฯ) เพื่อประเมินขอบเขตบริการรายการควบคุมการเข้าถึงคีย์ (KACLS) ได้ฟรี |