Kimlik doğrulama jetonları

Kullanıcının kimliğini onaylamak için kimlik iş ortağı (IdP) tarafından verilen taşıyıcı jeton (JWT: RFC 7516).

JSON gösterimi 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
Alanlar
aud

string

IdP tarafından tanımlanan kitle. Yerel yapılandırmaya göre kontrol edilmelidir.
email

string (UTF-8)

Kullanıcının e-posta adresi.
exp

string

Geçerlilik sonu.
iat

string

Verilme zamanı.
iss

string

Jetonu veren kuruluş. Kimlik doğrulama verenlerin güvenilir grubuyla doğrulanmalıdır.
google_email

string

Bu JWT'deki e-posta talebi, kullanıcının Google Workspace e-posta kimliğinden farklı olduğunda kullanılacak isteğe bağlı bir talep. Bu talep, kullanıcının Google Workspace e-posta kimliğini taşır.
...

Anahtar Erişim Kontrol Listesi Hizmetiniz (KACLS), sınırı değerlendirmek için diğer talepleri (konum, özel talep vb.) ücretsiz olarak kullanabilir.

delegate için KACLS kimlik doğrulama jetonu

Kimlik doğrulama jetonu, taşıyıcı kimlik doğrulama jetonu olan bir JSON Web Jetonu (JWT) (JWT: RFC 7516) içerir.

Bazen kullanıcılar doğrudan bir istemcide kimlik doğrulaması yapamaz. Bu durumlarda kullanıcı, belirli bir kaynağa erişimini istemciye yetkilendirebilir. Bu, orijinal kimlik doğrulama jetonunun kapsamını sınırlayan yeni bir yetkilendirilmiş kimlik doğrulama jetonu verilerek sağlanır.

Temsilci kimlik doğrulama jetonu, normal kimlik doğrulama jetonuna benzer ancak bir ek talep içerir:

iddia
delegated_to

string

Kimlik doğrulama yetkisinin devredileceği tüzel kişinin tanımlayıcısı.

Kimlik doğrulama jetonundaki resource_name talebi, bir yetki verme bağlamında, yetki vermenin geçerli olduğu veri şifreleme anahtarı (DEK) ile şifrelenen nesneyi tanımlamak için kullanılır.

Jeton, Delegate çağrısı kullanılarak Anahtar Erişim Kontrol Listesi Hizmeti (KACLS) tarafından verilir. KACLS'nin doğrulayabildiği kendinden imzalı JWT'ler olabilir veya KACLS, güvenilir bir çağrı aracılığıyla bunu yapmak için başka bir IdP kullanabilir.

Yetkilendirilmiş kimlik doğrulama jetonunun geçerli sayılması için aynı işlem için yetkilendirilmiş bir yetki jetonu sağlanmalıdır. Yetki verilmiş yetkilendirme jetonu, normal yetkilendirme jetonuna benzer ancak ek delegated_to talebini içerir. delegated_to ve resource_name taleplerinin değerleri, yetkilendirilmiş kimlik doğrulama jetonundaki değerlerle eşleşmelidir.

Sızma durumunda olası yeniden kullanımı önlemek için, temsilci kimlik doğrulama jetonlarının kullanım ömrünü 15 dakika olarak ayarlamanızı öneririz.

JSON gösterimi 
{
  "email": string,
  "iss": string,
  "aud": string,
  "exp": string,
  "iat": string,
  "google_email": string,
  "delegated_to": string,
  "resource_name": string
  ...
}
Alanlar
email

string (UTF-8)

Kullanıcının UTF-8 biçimli e-posta adresi.
iss

string

Jetonu veren kuruluş, güvenilir kimlik doğrulama kuruluşları kümesine göre doğrulanmalıdır.
aud

string

IdP tarafından tanımlanan kitle. Yerel yapılandırmaya göre kontrol edilmelidir.
exp

string

Geçerlilik süresi kontrol edilmelidir.
iat

string

Düzenlenme zamanı kontrol edilmelidir.
delegated_to

string

Kimlik doğrulama yetkisinin devredileceği tüzel kişinin tanımlayıcısı.
resource_name

string

DEK ile şifrelenmiş ve temsilcinin geçerli olduğu nesnenin tanımlayıcısı.
...

KACLS, sınırı değerlendirmek için diğer talepleri (konum, özel talep vb.) ücretsiz olarak kullanabilir.

PrivilegedUnwrap için KACLS kimlik doğrulama jetonu

Kullanıcının kimliğini onaylamak için kimlik iş ortağı (IdP) tarafından verilen taşıyıcı jeton (JWT: RFC 7516).

Bu yalnızca PrivilegedUnwrap üzerinde kullanılır. PrivilegedUnwrap sırasında, IdP kimlik doğrulama jetonu yerine KACLS JWT'si kullanılıyorsa alıcı KACLS'nin önce veren tarafın JWKS'sini getirmesi, ardından talepleri kontrol etmeden önce jeton imzasını doğrulaması gerekir.

JSON gösterimi 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
Alanlar
aud

string

IdP tarafından tanımlanan kitle. Drive istemci tarafı şifreleme (İTŞ) PrivilegedUnwrap işlemleri için bu değer kacls-migration olmalıdır.
exp

string

Geçerlilik sonu.
iat

string

Verilme zamanı.
iss

string

Jetonu veren kuruluş. Kimlik doğrulama verenlerin güvenilir grubuyla doğrulanmalıdır. İstek gönderen KACLS'nin KACLS_URL ile eşleşmelidir. Düzenleyenin ortak anahtar kümesini /certs adresinde bulabilirsiniz.
kacls_url

string

Verilerin şifresinin çözüldüğü mevcut KACLS'nin URL'si.
resource_name

string

DEK ile şifrelenmiş nesnenin tanımlayıcısı. Maksimum boyut: 128 bayt.
...

Anahtar Erişim Kontrol Listesi Hizmetiniz (KACLS), sınırı değerlendirmek için diğer talepleri (konum, özel talep vb.) ücretsiz olarak kullanabilir.