אסימון למוכ"ז (JWT: RFC 7516) שהונפק על ידי שותף הזהויות (IdP) כדי לאמת את זהות המשתמש.
| ייצוג ב-JSON | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
|
| שדות | |
|---|---|
aud |
הקהל, כפי שהוא מזוהה על ידי ה-IdP. צריך לבדוק את ההגדרות המקומיות. |
email |
זוהי כתובת האימייל של המשתמש. |
exp |
מועד התפוגה. |
iat |
זמן ההנפקה. |
iss |
מנפיק האסימון. צריך לאמת אותו מול הקבוצה המהימנה של מנפיקי האימות. |
google_email |
הצהרה אופציונלית, שמיועדת לשימוש כשהצהרת האימייל ב-JWT הזה שונה ממזהה האימייל של המשתמש ב-Google Workspace. הצהרה זו מכילה את הזהות של כתובת האימייל של המשתמש ב-Google Workspace. |
... |
שירות רשימת בקרת הגישה למפתחות (KACLS) יכול להשתמש בטענות נכונות (claims) אחרות (מיקום, טענת נכוֹנוּת מותאמת אישית וכו') כדי להעריך את ההיקף. |
טוקן אימות של KACLS עבור PrivilegedUnwrap
אסימון למוכ"ז (JWT: RFC 7516) שהונפק על ידי שותף הזהויות (IdP) כדי לאמת את זהות המשתמש.
האפשרות הזו משמשת רק ב-PrivilegedUnwrap. במהלך PrivilegedUnwrap, אם נעשה שימוש ב-JWT של KACLS במקום באסימון אימות של IDP, ה-KACLS של הנמען צריך קודם לאחזר את ה-JWKS של המנפיק, ואז לאמת את חתימת האסימון, לפני שהוא בודק את ההצהרות.
| ייצוג ב-JSON | |
|---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
|
| שדות | |
|---|---|
aud |
הקהל, כפי שהוא מזוהה על ידי ה-IdP. לפעולות |
exp |
מועד התפוגה. |
iat |
זמן ההנפקה. |
iss |
מנפיק האסימון. צריך לאמת אותו מול הקבוצה המהימנה של מנפיקי האימות. חייב להתאים ל- |
kacls_url |
כתובת ה-URL של KACLS הנוכחי, שבו הנתונים מפוענחים. |
resource_name |
מזהה של האובייקט המוצפן על ידי ה-DEK. גודל מקסימלי: 128 בייטים. |
... |
שירות רשימת בקרת הגישה למפתחות (KACLS) יכול להשתמש בטענות נכונות (claims) אחרות (מיקום, טענת נכוֹנוּת מותאמת אישית וכו') כדי להעריך את ההיקף. |