Token autentikasi

Token pemilik (JWT: RFC 7519) yang dikeluarkan oleh penyedia identitas (IdP) untuk membuktikan identitas pengguna.

Representasi JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... }

Kolom
`aud`	`string` Audiens, seperti yang diidentifikasi oleh IdP. Harus diperiksa terhadap konfigurasi lokal.
`email`	`string (UTF-8)` Alamat email pengguna.
`exp`	`string` Waktu habis masa berlaku.
`iat`	`string` Waktu penerbitan.
`iss`	`string` Penerbit token. Harus divalidasi terhadap kumpulan penerbit autentikasi tepercaya.
`google_email`	`string` Klaim opsional, yang akan digunakan jika klaim email dalam JWT ini berbeda dengan ID email Google Workspace pengguna. Klaim ini membawa identitas email Google Workspace pengguna.
`...`	Layanan Daftar Kontrol Akses Kunci (KACLS) Anda dapat menggunakan klaim lain (lokasi, klaim kustom, dll.) untuk mengevaluasi perimeter.

Token autentikasi KACLS untuk `delegate`

Token autentikasi berisi Token Web JSON (JWT) (JWT: RFC 7519) yang merupakan token autentikasi pemilik.

Terkadang, pengguna tidak dapat melakukan autentikasi langsung di klien. Dalam kasus ini, pengguna dapat mendelegasikan aksesnya ke resource tertentu kepada klien tersebut. Hal ini dicapai dengan menerbitkan token autentikasi yang didelegasikan baru yang membatasi cakupan token autentikasi asli.

Token autentikasi yang didelegasikan mirip dengan token autentikasi biasa dengan satu klaim tambahan:

klaim

klaim
`delegated_to`	`string` ID untuk entitas yang akan didelegasikan autentikasinya.

delegated_to

string

ID untuk entitas yang akan didelegasikan autentikasinya.

Klaim resource_name dalam token autentikasi, dalam konteks delegasi, digunakan untuk mengidentifikasi objek yang dienkripsi oleh Kunci Enkripsi Data (DEK) yang delegasinya valid.

Token dikeluarkan oleh Layanan Daftar Kontrol Akses Kunci (KACLS) menggunakan panggilan Delegate. Token ini dapat berupa JWT yang ditandatangani sendiri yang dapat divalidasi oleh KACLS, atau KACLS dapat menggunakan IdP lain untuk melakukannya, melalui panggilan tepercaya.

Agar token autentikasi yang didelegasikan dianggap valid, token otorisasi yang didelegasikan harus diberikan untuk operasi yang sama. Token otorisasi yang didelegasikan mirip dengan token otorisasi biasa, tetapi berisi klaim tambahan delegated_to. Nilai klaim delegated_to dan resource_name harus cocok dengan nilai dalam token autentikasi yang didelegasikan.

Sebaiknya tetapkan nilai masa aktif 15 menit untuk token autentikasi yang didelegasikan guna menghindari potensi penggunaan ulang jika terjadi kebocoran.

Representasi JSON
{ "email": string, "iss": string, "aud": string, "exp": string, "iat": string, "google_email": string, "delegated_to": string, "resource_name": string ... }

Kolom
`email`	`string (UTF-8)` Alamat email pengguna yang diformat UTF-8.
`iss`	`string` Penerbit token, harus divalidasi terhadap kumpulan penerbit autentikasi tepercaya.
`aud`	`string` Audiens, seperti yang diidentifikasi oleh IdP. Harus diperiksa terhadap konfigurasi lokal.
`exp`	`string` Waktu habis masa berlaku, harus diperiksa.
`iat`	`string` Waktu penerbitan, harus diperiksa.
`delegated_to`	`string` ID untuk entitas yang akan didelegasikan autentikasinya.
`resource_name`	`string` ID untuk objek yang dienkripsi oleh DEK, yang delegasinya valid.
`...`	KACLS dapat menggunakan klaim lain (lokasi, klaim kustom, dll.) untuk mengevaluasi perimeter.

Token autentikasi KACLS untuk `PrivilegedUnwrap`

Token pemilik (JWT: RFC 7519) yang dikeluarkan oleh penyedia identitas (IdP) untuk membuktikan identitas pengguna.

Token ini hanya digunakan di PrivilegedUnwrap. Selama PrivilegedUnwrap, jika JWT KACLS digunakan sebagai pengganti token autentikasi IDP, KACLS penerima harus mengambil JWKS penerbit terlebih dahulu, lalu memverifikasi tanda tangan token, sebelum memeriksa klaim.

Representasi JSON
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... }

Kolom
`aud`	`string` Audiens, seperti yang diidentifikasi oleh IdP. Untuk operasi enkripsi sisi klien (CSE) Google Drive `PrivilegedUnwrap`, nilai ini harus berupa `kacls-migration`.
`exp`	`string` Waktu habis masa berlaku.
`iat`	`string` Waktu penerbitan.
`iss`	`string` Penerbit token. Harus divalidasi terhadap kumpulan penerbit autentikasi tepercaya. Harus cocok dengan `KACLS_URL` dari KACLS yang meminta. Kumpulan kunci publik penerbit dapat ditemukan di `<iss>/certs`.
`kacls_url`	`string` URL KACLS saat ini, tempat data didekripsi.
`resource_name`	`string` ID untuk objek yang dienkripsi oleh DEK. Ukuran maksimum: 128 byte.
`...`	Layanan Daftar Kontrol Akses Kunci (KACLS) Anda dapat menggunakan klaim lain (lokasi, klaim kustom, dll.) untuk mengevaluasi perimeter.

Token autentikasi Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Token autentikasi KACLS untuk delegate

Token autentikasi KACLS untuk PrivilegedUnwrap

Token autentikasi

Token autentikasi KACLS untuk `delegate`

Token autentikasi KACLS untuk `PrivilegedUnwrap`