Token di connessione (JWT: RFC 7516) emesso dal partner di identità (IdP) per attestare l'identità di un utente.
Rappresentazione JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
Campi | |
---|---|
aud |
Il pubblico, come identificato dall'IdP. Deve essere verificato in base alla configurazione locale. |
email |
L'indirizzo email dell'utente. |
exp |
Data di scadenza. |
iat |
Data/ora di emissione. |
iss |
L'emittente del token. Deve essere convalidato in base all'insieme di emittenti di autenticazione attendibili. |
google_email |
Una rivendicazione facoltativa, da utilizzare quando la rivendicazione via email in questo JWT è diversa dall'ID email di Google Workspace dell'utente. Questa dichiarazione riguarda l'identità email di Google Workspace dell'utente. |
... |
Il tuo Key Access Control List Service (KACLS) può utilizzare qualsiasi altra rivendicazione (località, rivendicazione personalizzata e così via) per valutare il perimetro. |
Token di autenticazione KACLS per PrivilegedUnwrap
Token di connessione (JWT: RFC 7516) emesso dal partner di identità (IdP) per attestare l'identità di un utente.
Utilizzata solo su PrivilegedUnwrap
. Durante il periodo PrivilegedUnwrap
, se viene utilizzato un JWT KACLS al posto di un token di autenticazione IdP, il KACLS destinatario deve recuperare il JWKS dell'emittente e poi verificare la firma del token prima di controllare le rivendicazioni.
Rappresentazione JSON | |
---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
Campi | |
---|---|
aud |
Il pubblico, come identificato dall'IdP. Per le operazioni |
exp |
Data di scadenza. |
iat |
Data/ora di emissione. |
iss |
L'emittente del token. Deve essere convalidato in base all'insieme di emittenti di autenticazione attendibili. Deve corrispondere al |
kacls_url |
URL dell'attuale KACLS su cui vengono decriptati i dati. |
resource_name |
Identificatore per l'oggetto criptato dalla DEK. Dimensione massima: 128 byte. |
... |
Il tuo Key Access Control List Service (KACLS) può utilizzare qualsiasi altra rivendicazione (località, rivendicazione personalizzata e così via) per valutare il perimetro. |