權杖 (JWT:RFC 7516) 是由身分識別資訊合作夥伴 (IdP) 核發,用於驗證使用者的身分。
| JSON 表示法 | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
|
| 欄位 | |
|---|---|
aud |
IdP 識別的目標對象。應根據本機設定進行檢查。 |
email |
使用者的電子郵件地址。 |
exp |
到期時間。 |
iat |
發卡時間。 |
iss |
權杖核發者。應根據信任的驗證發出者組合進行驗證。 |
google_email |
這個選用憑證會在 JWT 中的電子郵件憑證與使用者的 Google Workspace 電子郵件 ID 不同時使用。這個宣告會攜帶使用者的 Google Workspace 電子郵件身分。 |
... |
您的金鑰存取控制清單服務 (KACLS) 可以自由使用任何其他宣告 (位置、自訂宣告等) 來評估邊界。 |
PrivilegedUnwrap 的 KACLS 驗證權杖
權杖 (JWT:RFC 7516) 是由身分識別資訊合作夥伴 (IdP) 核發,用於驗證使用者的身分。
這項設定僅適用於 PrivilegedUnwrap。在 PrivilegedUnwrap 期間,如果使用 KACLS JWT 取代 IDP 驗證權杖,則接收端 KACLS 必須先擷取核發單位的 JWKS,然後驗證權杖簽名,再檢查權杖。
| JSON 表示法 | |
|---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
|
| 欄位 | |
|---|---|
aud |
IdP 識別的目標對象。對於雲端硬碟用戶端加密 (CSE) |
exp |
到期時間。 |
iat |
發卡時間。 |
iss |
權杖核發者。應根據信任的驗證發出者組合進行驗證。必須與要求 KACLS 的 |
kacls_url |
目前 KACLS 的網址,資料會在該網址上解密。 |
resource_name |
由 DEK 加密的物件 ID。大小上限:128 位元組。 |
... |
您的金鑰存取控制清單服務 (KACLS) 可以自由使用任何其他宣告 (位置、自訂宣告等) 來評估邊界。 |