識別資訊提供者 (IdP) 核發的不記名權杖 (JWT:RFC 7516),用於認證使用者身分。
| JSON 表示法 | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
|
| 欄位 | |
|---|---|
aud |
IdP 識別的目標對象。請依據本機設定進行檢查。 |
email |
使用者的電子郵件地址。 |
exp |
到期時間。 |
iat |
核發時間。 |
iss |
權杖核發者。依據一組受信任的驗證核發機構進行驗證。 |
google_email |
當這個 JWT 中的電子郵件憑證附加資訊與使用者 Google Workspace 電子郵件 ID 不同時,可以使用這個憑證附加資訊。這項憑證附加資訊會沿用使用者的 Google Workspace 電子郵件身分。 |
... |
金鑰存取控制清單 (KACLS) 可以免費使用任何其他憑證附加資訊 (位置資訊、自訂憑證附加資訊等) 來評估範圍。 |
「PrivilegedUnwrap」的 KACLS 驗證權杖
識別資訊提供者 (IdP) 核發的不記名權杖 (JWT:RFC 7516),用於認證使用者身分。
僅用於 PrivilegedUnwrap。在 PrivilegedUnwrap 期間,如果使用 KACLS JWT 取代 IDP 驗證權杖,收件者的 KACLS 必須先擷取核發者的 JWKS,然後驗證權杖簽章,再檢查憑證附加資訊。
| JSON 表示法 | |
|---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
|
| 欄位 | |
|---|---|
aud |
IdP 識別的目標對象。如果是雲端硬碟用戶端加密 (CSE) |
exp |
到期時間。 |
iat |
核發時間。 |
iss |
權杖核發者。依據一組受信任的驗證核發機構進行驗證。必須與要求的 KACLS 中的 |
kacls_url |
目前 KACLS 的網址,表示資料正在解密。 |
resource_name |
由 DEK 加密的物件 ID。大小上限:128 個位元組。 |
... |
金鑰存取控制清單 (KACLS) 可以免費使用任何其他憑證附加資訊 (位置資訊、自訂憑證附加資訊等) 來評估範圍。 |