身份合作伙伴 (IdP) 发出的不记名令牌 (JWT:RFC 7516),用于证明用户的身份。
| JSON 表示法 | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
|
| 字段 | |
|---|---|
aud |
由 IdP 标识的受众群体。应与本地配置进行核对。 |
email |
用户的电子邮件地址。 |
exp |
到期时间。 |
iat |
发卡时间。 |
iss |
令牌颁发者。应通过一组受信任的身份验证颁发机构进行验证。 |
google_email |
一个可选声明,用于在此 JWT 中的电子邮件声明与用户的 Google Workspace 电子邮件 ID 不同时使用。此声明包含用户的 Google Workspace 电子邮件身份。 |
... |
您的密钥访问控制列表服务 (KACLS) 可以自由使用任何其他声明(位置、自定义声明等)来评估边界。 |
PrivilegedUnwrap 的 KACLS 身份验证令牌
身份合作伙伴 (IdP) 发出的不记名令牌 (JWT:RFC 7516),用于证明用户的身份。
此属性仅适用于 PrivilegedUnwrap。在 PrivilegedUnwrap 期间,如果使用 KACLS JWT 来替代 IDP 身份验证令牌,则接收方 KACLS 必须先提取颁发者的 JWKS,然后验证令牌签名,然后才能检查声明。
| JSON 表示法 | |
|---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
|
| 字段 | |
|---|---|
aud |
由 IdP 标识的受众群体。对于云端硬盘客户端加密 (CSE) |
exp |
到期时间。 |
iat |
发卡时间。 |
iss |
令牌颁发者。应通过一组受信任的身份验证颁发机构进行验证。必须与请求 KACLS 的 |
kacls_url |
当前正在解密数据的 KACLS 的网址。 |
resource_name |
由 DEK 加密的对象的标识符。大小上限:128 字节。 |
... |
您的密钥访问控制列表服务 (KACLS) 可以自由使用任何其他声明(位置、自定义声明等)来评估边界。 |