認証トークン

署名なしトークン(JWT: RFC 7516) ユーザー ID を証明するために、ID パートナー(IdP)が発行した ID です。

JSON 表現
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
フィールド
aud

string

IdP によって識別されたオーディエンス。ローカルの設定と照合する必要があります。

email

string (UTF-8)

ユーザーのメール アドレスです。

exp

string

有効期限。

iat

string

発行時刻。

iss

string

トークン発行者。信頼できる認証発行者のセットに対して検証する必要がある。

google_email

string

この JWT のメール クレームがユーザーの Google Workspace メール ID と異なる場合に使用するクレーム(省略可)。この主張 ユーザーの Google Workspace メール ID を保持します。

...

鍵アクセス制御リストサービス(KACLS)では、他のクレーム(ロケーション、カスタム クレームなど)を使用して境界を評価できます。

PrivilegedUnwrap の KACLS 認証トークン

署名なしトークン(JWT: RFC 7516) ユーザー ID を証明するために、ID パートナー(IdP)が発行した ID です。

これは PrivilegedUnwrap でのみ使用されます。PrivilegedUnwrap で、KACLS が JWT が IDP 認証トークンの代わりに使用される場合、受信者の KACLS は 発行元の JWKS を取得してから、トークンの署名を検証してから、 申し立ての確認が行われます。

JSON 表現
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
フィールド
aud

string

IdP によって識別されたオーディエンス。ドライブのクライアントサイド暗号化(CSE)の PrivilegedUnwrap オペレーションの場合、 これは kacls-migration である必要があります。

exp

string

有効期限。

iat

string

発行時刻。

iss

string

トークン発行者。信頼できる認証発行者のセットに対して検証する必要がある。リクエスト元の KACLS の KACLS_URL と一致する必要があります。発行元の公開鍵セットは /certs にあります。

kacls_url

string

データが復号される現在の KACLS の URL。

resource_name

string

DEK によって暗号化されたオブジェクトの識別子。最大サイズ: 128 バイト。

...

鍵アクセス制御リストサービス(KACLS)では、他のクレーム(ロケーション、カスタム クレームなど)を使用して境界を評価できます。