Tokens de autenticación

Token del portador (JWT: RFC 7516) que emite el socio de identidad (IdP) para certificar la identidad de un usuario.

Representación JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
Campos
aud

string

El público, como lo identifica el IdP. Se debe comparar con la configuración local.
email

string (UTF-8)

La dirección de correo electrónico del usuario.
exp

string

Hora de vencimiento.
iat

string

Tiempo de emisión
iss

string

El emisor del token. Debe validarse con respecto al conjunto de entidades emisoras de autenticación de confianza.
google_email

string

Una reclamación opcional que se usará cuando la reclamación de correo electrónico en este JWT sea diferente del ID de correo electrónico de Google Workspace del usuario. Este reclamo con la identidad de correo electrónico de Google Workspace del usuario.
...

Tu servicio de lista de control de acceso a las claves (KACLS) tiene la libertad de usar cualquier otro reclamo (ubicación, reclamación personalizada, etc.) para evaluar el perímetro.

Token de autenticación de KACLS para PrivilegedUnwrap

Token del portador (JWT: RFC 7516) que emite el socio de identidad (IdP) para certificar la identidad de un usuario.

Solo se usa en PrivilegedUnwrap. Durante PrivilegedUnwrap, si un KACLS JWT se usa en lugar de un token de autenticación de IdP, los KACLS de destino deben primero recupera el JWKS de la entidad emisora y, luego, verifica la firma del token, antes de verificar los reclamos.

Representación JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
Campos
aud

string

El público, como lo identifica el IdP. Para las operaciones de encriptación del cliente (CSE) PrivilegedUnwrap de Drive, debería ser kacls-migration.
exp

string

Hora de vencimiento.
iat

string

Tiempo de emisión
iss

string

El emisor del token. Debe validarse con respecto al conjunto de entidades emisoras de autenticación de confianza. Debe coincidir con el KACLS_URL del KACLS solicitante. Puedes encontrar el conjunto de claves públicas de la entidad emisora en /certs.
kacls_url

string

URL de los KACLS actuales en los que se desencriptan los datos.
resource_name

string

Un identificador para el objeto encriptado por la DEK. Tamaño máximo: 128 bytes
...

Tu servicio de lista de control de acceso a las claves (KACLS) tiene la libertad de usar cualquier otro reclamo (ubicación, reclamación personalizada, etc.) para evaluar el perímetro.