Tokeny uwierzytelniania

Token okaziciela (JWT: RFC 7516) wystawiane przez dostawcę tożsamości w celu potwierdzenia tożsamości użytkownika.

Zapis JSON
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
Pola
aud

string

Lista odbiorców wskazana przez dostawcę tożsamości. Trzeba sprawdzić w porównaniu z konfiguracją lokalną.

email

string (UTF-8)

Adres e-mail użytkownika.

exp

string

Data ważności.

iat

string

Czas wydania.

iss

string

Wydawca tokena. Powinna zostać zweryfikowana w odniesieniu do zaufanych wydawców uwierzytelniania.

google_email

string

Opcjonalny deklaracja do użycia, gdy deklaracja adresu e-mail w tym tokenie JWT jest inna niż identyfikator e-mail użytkownika Google Workspace. To roszczenie zawiera tożsamość e-mail użytkownika Google Workspace.

...

Usługa listy kontroli dostępu do kluczy (KACLS) może wykorzystywać dowolne inne żądania (dotyczące lokalizacji, deklaracji niestandardowych itp.) do oceny granicy.

Token uwierzytelniania KACLS dla domeny PrivilegedUnwrap

Token okaziciela (JWT: RFC 7516) wystawiane przez dostawcę tożsamości w celu potwierdzenia tożsamości użytkownika.

Jest ona używana tylko na urządzeniu PrivilegedUnwrap. W okresie PrivilegedUnwrap, jeśli KACLS Zamiast tokena uwierzytelniania dostawcy tożsamości używany jest token JWT. KACLS odbiorcy musi pobierz kod JWKS wydawcy, a następnie sprawdź podpis tokena, podczas sprawdzania roszczeń.

Zapis JSON
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
Pola
aud

string

Lista odbiorców wskazana przez dostawcę tożsamości. W przypadku operacji PrivilegedUnwrap szyfrowania po stronie klienta na Dysku: powinna być kacls-migration.

exp

string

Data ważności.

iat

string

Czas wydania.

iss

string

Wydawca tokena. Powinna zostać zweryfikowana w odniesieniu do zaufanych wydawców uwierzytelniania. Musi być zgodny z KACLS_URL w pliku KACLS, który wysłał żądanie. Zestaw kluczy publicznego wydawcy znajdziesz pod adresem /certs.

kacls_url

string

Adres URL bieżącego pliku KACLS, na którym są odszyfrowywane dane.

resource_name

string

Identyfikator obiektu zaszyfrowanego przez DEK. Maksymalny rozmiar: 128 bajtów.

...

Usługa listy kontroli dostępu do kluczy (KACLS) może wykorzystywać dowolne inne żądania (dotyczące lokalizacji, deklaracji niestandardowych itp.) do oceny granicy.