โทเค็นสำหรับผู้ถือ (JWT: RFC 7516) ออกโดยพาร์ทเนอร์ข้อมูลประจำตัว (IdP) เพื่อยืนยันตัวตนของผู้ใช้
การแสดง JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
ช่อง | |
---|---|
aud |
กลุ่มเป้าหมายตามที่ IdP ระบุไว้ ควรตรวจสอบกับการกำหนดค่าในเครื่อง |
email |
อีเมลของผู้ใช้ |
exp |
เวลาหมดอายุ |
iat |
เวลาที่ออกบัตร |
iss |
ผู้ออกโทเค็น ควรได้รับการตรวจสอบกับชุดผู้ออกการตรวจสอบสิทธิ์ที่เชื่อถือได้ |
google_email |
การอ้างสิทธิ์ที่ไม่บังคับ ใช้เมื่อการอ้างสิทธิ์อีเมลใน JWT นี้แตกต่างจากรหัสอีเมล Google Workspace ของผู้ใช้ การอ้างสิทธิ์นี้ จะมีข้อมูลประจำตัวของอีเมล Google Workspace ของผู้ใช้ |
... |
คุณสามารถใช้บริการรายการควบคุมการเข้าถึงคีย์ (KACLS) ในการใช้การอ้างสิทธิ์อื่นๆ (ตำแหน่ง การอ้างสิทธิ์ที่กำหนดเอง ฯลฯ) เพื่อประเมินขอบเขตได้ |
โทเค็นการตรวจสอบสิทธิ์ KACLS สำหรับ PrivilegedUnwrap
โทเค็นสำหรับผู้ถือ (JWT: RFC 7516) ออกโดยพาร์ทเนอร์ข้อมูลประจำตัว (IdP) เพื่อยืนยันตัวตนของผู้ใช้
ฟีเจอร์นี้ใช้บน PrivilegedUnwrap
เท่านั้น ระหว่าง PrivilegedUnwrap
หาก KACLS
JWT จะใช้แทนโทเค็นการตรวจสอบสิทธิ์ IdP แต่ KACLS ของผู้รับต้อง
ดึงข้อมูล JWKS ของผู้ออกก่อน จากนั้นยืนยันลายเซ็นโทเค็นก่อน
ตรวจสอบการอ้างสิทธิ์
การแสดง JSON | |
---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
ช่อง | |
---|---|
aud |
กลุ่มเป้าหมายตามที่ IdP ระบุไว้ สำหรับการดำเนินการ |
exp |
เวลาหมดอายุ |
iat |
เวลาที่ออกบัตร |
iss |
ผู้ออกโทเค็น ควรได้รับการตรวจสอบกับชุดผู้ออกการตรวจสอบสิทธิ์ที่เชื่อถือได้ ต้องตรงกับ |
kacls_url |
URL ของ KACLS ปัจจุบันที่มีการถอดรหัสข้อมูล |
resource_name |
ตัวระบุสำหรับออบเจ็กต์ที่เข้ารหัสโดย DEK ขนาดสูงสุด: 128 ไบต์ |
... |
คุณสามารถใช้บริการรายการควบคุมการเข้าถึงคีย์ (KACLS) เพื่อใช้การอ้างสิทธิ์อื่นๆ (ตำแหน่ง การอ้างสิทธิ์ที่กำหนดเอง ฯลฯ) เพื่อประเมินขอบเขตได้ |