โทเค็น Bearer (JWT: RFC 7516) ที่ออกโดยพาร์ทเนอร์ด้านข้อมูลประจำตัว (IdP) เพื่อยืนยันตัวตนของผู้ใช้
| การแสดง JSON | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
|
| ช่อง | |
|---|---|
aud |
กลุ่มเป้าหมายตามที่ IdP ระบุ ควรตรวจสอบกับการกำหนดค่าในเครื่อง |
email |
อีเมลของผู้ใช้ |
exp |
เวลาหมดอายุ |
iat |
เวลาในการออกบัตร |
iss |
ผู้ออกโทเค็น ควรได้รับการตรวจสอบกับชุดผู้ออกใบรับรองการตรวจสอบสิทธิ์ที่เชื่อถือได้ |
google_email |
การอ้างสิทธิ์ที่ไม่บังคับ ซึ่งจะใช้เมื่อการอ้างสิทธิ์อีเมลใน JWT นี้แตกต่างจากรหัสอีเมล Google Workspace ของผู้ใช้ การอ้างสิทธิ์นี้ ระบุตัวตนทางอีเมล Google Workspace ของผู้ใช้ |
... |
บริการรายการควบคุมการเข้าถึงคีย์ (KACLS) ของคุณสามารถใช้การอ้างสิทธิ์อื่นๆ (ตำแหน่ง การอ้างสิทธิ์ที่กำหนดเอง ฯลฯ) ได้โดยไม่มีค่าใช้จ่ายเพื่อประเมินขอบเขต |
โทเค็นการตรวจสอบสิทธิ์ KACLS สำหรับ delegate
โทเค็นการตรวจสอบสิทธิ์มีโทเค็นเว็บ JSON (JWT) (JWT: RFC 7516) ซึ่งเป็นโทเค็นการตรวจสอบสิทธิ์แบบ Bearer
บางครั้งผู้ใช้อาจตรวจสอบสิทธิ์ในไคลเอ็นต์โดยตรงไม่ได้ ในกรณีเหล่านี้ ผู้ใช้สามารถมอบสิทธิ์การเข้าถึง ทรัพยากรที่เฉพาะเจาะจงให้กับไคลเอ็นต์นั้นได้ ซึ่งทำได้โดยการออก โทเค็นการตรวจสอบสิทธิ์ที่มอบสิทธิ์ใหม่ซึ่งจำกัดขอบเขตของ โทเค็นการตรวจสอบสิทธิ์เดิม
โทเค็นการตรวจสอบสิทธิ์ที่มอบสิทธิ์จะคล้ายกับโทเค็นการตรวจสอบสิทธิ์ทั่วไป แต่จะมีคำกล่าวอ้างเพิ่มเติม 1 รายการ ดังนี้
| อ้างสิทธิ์ | |
|---|---|
delegated_to |
ตัวระบุสำหรับเอนทิตีที่จะมอบสิทธิ์การตรวจสอบสิทธิ์ให้ |
ในบริบทการมอบสิทธิ์ ระบบจะใช้resource_nameการอ้างสิทธิ์ในโทเค็นการตรวจสอบสิทธิ์เพื่อระบุออบเจ็กต์ที่เข้ารหัสโดยคีย์การเข้ารหัสข้อมูล (DEK) ซึ่งการมอบสิทธิ์นั้นใช้ได้
โทเค็นออกโดยบริการรายการควบคุมการเข้าถึงคีย์ (KACLS)
โดยใช้การเรียก Delegate อาจเป็น JWT ที่ลงนามด้วยตนเอง
ซึ่ง KACLS สามารถตรวจสอบได้ หรือ KACLS อาจใช้ IdP อื่นเพื่อดำเนินการดังกล่าว
ผ่านการเรียกที่เชื่อถือได้
หากต้องการให้ระบบพิจารณาว่าโทเค็นการตรวจสอบสิทธิ์ที่มอบสิทธิ์นั้นถูกต้อง คุณต้องระบุโทเค็นการให้สิทธิ์ที่มอบสิทธิ์สำหรับการดำเนินการเดียวกัน
โทเค็นการให้สิทธิ์ที่มอบหมายจะคล้ายกับโทเค็นการให้สิทธิ์ทั่วไป
แต่จะมีอ้างสิทธิ์เพิ่มเติม delegated_to ค่าของการอ้างสิทธิ์ delegated_to และ resource_name ต้องตรงกับค่าในโทเค็นการตรวจสอบสิทธิ์ที่มอบสิทธิ์
เราขอแนะนำให้คุณตั้งค่ามูลค่าตลอดอายุการใช้งานเป็น 15 นาทีสำหรับโทเค็นการตรวจสอบสิทธิ์ที่มอบสิทธิ์เพื่อหลีกเลี่ยงการนำกลับมาใช้ซ้ำในกรณีที่เกิดการรั่วไหล
| การแสดง JSON | |
|---|---|
{ "email": string, "iss": string, "aud": string, "exp": string, "iat": string, "google_email": string, "delegated_to": string, "resource_name": string ... } |
|
| ช่อง | |
|---|---|
email |
อีเมลของผู้ใช้ในรูปแบบ UTF-8 |
iss |
ควรตรวจสอบผู้ออกโทเค็นกับชุดผู้ออกการตรวจสอบสิทธิ์ที่เชื่อถือได้ |
aud |
กลุ่มเป้าหมายตามที่ IdP ระบุ ควรตรวจสอบกับการกำหนดค่าในเครื่อง |
exp |
ควรตรวจสอบเวลาหมดอายุ |
iat |
ควรตรวจสอบเวลาที่ออก |
delegated_to |
ตัวระบุสำหรับเอนทิตีที่จะมอบสิทธิ์การตรวจสอบสิทธิ์ให้ |
resource_name |
ตัวระบุสำหรับออบเจ็กต์ที่เข้ารหัสโดย DEK ซึ่งการมอบสิทธิ์ใช้ได้ |
... |
KACLS สามารถใช้การอ้างสิทธิ์อื่นๆ (สถานที่ตั้ง การอ้างสิทธิ์ที่กำหนดเอง ฯลฯ) เพื่อประเมินขอบเขตได้โดยไม่มีค่าใช้จ่าย |
โทเค็นการตรวจสอบสิทธิ์ KACLS สำหรับ PrivilegedUnwrap
โทเค็น Bearer (JWT: RFC 7516) ที่ออกโดยพาร์ทเนอร์ด้านข้อมูลประจำตัว (IdP) เพื่อยืนยันตัวตนของผู้ใช้
โดยจะใช้ใน PrivilegedUnwrap เท่านั้น ในระหว่าง PrivilegedUnwrap หากใช้ JWT ของ KACLS แทนโทเค็นการตรวจสอบสิทธิ์ของ IdP ผู้รับ KACLS ต้อง
ดึงข้อมูล JWKS ของผู้ออกก่อน จากนั้นจึงยืนยันลายเซ็นโทเค็นก่อน
ตรวจสอบการอ้างสิทธิ์
| การแสดง JSON | |
|---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
|
| ช่อง | |
|---|---|
aud |
กลุ่มเป้าหมายตามที่ IdP ระบุ สำหรับการดำเนินการ |
exp |
เวลาหมดอายุ |
iat |
เวลาในการออกบัตร |
iss |
ผู้ออกโทเค็น ควรได้รับการตรวจสอบกับชุดผู้ออกใบรับรองการตรวจสอบสิทธิ์ที่เชื่อถือได้ ต้องตรงกับ |
kacls_url |
URL ของ KACLS ปัจจุบันที่ใช้ถอดรหัสข้อมูล |
resource_name |
ตัวระบุสำหรับออบเจ็กต์ที่เข้ารหัสโดย DEK ขนาดสูงสุด: 128 ไบต์ |
... |
บริการรายการควบคุมการเข้าถึงคีย์ (KACLS) ของคุณสามารถใช้การอ้างสิทธิ์อื่นๆ (ตำแหน่ง การอ้างสิทธิ์ที่กำหนดเอง ฯลฯ) ได้โดยไม่มีค่าใช้จ่ายเพื่อประเมินขอบเขต |