Tokeny uwierzytelniania

token nieimienny (JWT: RFC 7516) wystawiony przez dostawcę tożsamości (IdP) w celu potwierdzenia tożsamości użytkownika.

Zapis JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
Pola
aud

string

Lista odbiorców z identyfikacją przez dostawcę tożsamości. Należy sprawdzić, czy jest zgodna z konfiguracją lokalną.
email

string (UTF-8)

Adres e-mail użytkownika.
exp

string

Czas ważności.
iat

string

Czas wydania.
iss

string

Wydawca tokenów. Powinien zostać zweryfikowany przez zaufany zestaw wystawców uwierzytelnień.
google_email

string

Opcjonalna deklaracja, która jest używana, gdy deklaracja e-mail w tym JWT jest inna niż identyfikator e-mail użytkownika w Google Workspace. To żądanie zawiera identyfikator e-mail użytkownika Google Workspace.
...

Usługa listy kontroli dostępu do kluczy (KACLS) może używać dowolnych innych roszczeń (lokalizacja, roszczeń niestandardowych itp.) do oceny obwodu.

Token uwierzytelniania KACLS dla PrivilegedUnwrap

token nieimienny (JWT: RFC 7516) wystawiony przez dostawcę tożsamości (IdP) w celu potwierdzenia tożsamości użytkownika.

Jest on używany tylko w przypadku PrivilegedUnwrap. Jeśli podczas PrivilegedUnwrap zamiast tokena uwierzytelniającego IDP używany jest token JWT KACLS, odbiorca KACLS musi najpierw pobrać certyfikat JWKS wystawcy, a następnie zweryfikować podpis tokena, zanim sprawdzi oświadczenia.

Zapis JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
Pola
aud

string

Lista odbiorców z identyfikacją przez dostawcę tożsamości. W przypadku operacji PrivilegedUnwrap szyfrowania po stronie klienta na Dysku powinna to być wartość kacls-migration.
exp

string

Czas ważności.
iat

string

Czas wydania.
iss

string

Wydawca tokenów. Powinien zostać zweryfikowany przez zaufany zestaw wystawców uwierzytelnień. Musi być zgodny z KACLS_URL konta, które wysłało żądanie. Zestaw kluczy publicznych wydawcy można znaleźć na stronie /certs.
kacls_url

string

Adres URL bieżącego KACLS, w którym dane są odszyfrowywane.
resource_name

string

Identyfikator obiektu zaszyfrowanego za pomocą klucza DEK. Maksymalny rozmiar: 128 bajtów.
...

Usługa listy kontroli dostępu do kluczy (KACLS) może używać dowolnych innych roszczeń (lokalizacja, roszczeń niestandardowych itp.) do oceny obwodu.