Token autentikasi

Token pemilik (JWT: RFC 7516) yang dikeluarkan oleh partner identitas (IdP) untuk membuktikan identitas pengguna.

Representasi JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
Kolom
aud

string

Audiens, sebagaimana diidentifikasi oleh IdP. Harus diperiksa berdasarkan konfigurasi lokal.
email

string (UTF-8)

Alamat email pengguna.
exp

string

Waktu habis masa berlaku.
iat

string

Waktu penerbitan.
iss

string

Penerbit token. Harus divalidasi terhadap kumpulan penerbit autentikasi tepercaya.
google_email

string

Klaim opsional, yang akan digunakan jika klaim email di JWT ini berbeda dengan ID email Google Workspace pengguna. Klaim ini membawa identitas email Google Workspace pengguna.
...

Layanan Daftar Kontrol Akses Kunci (KACLS) Anda bebas menggunakan klaim lain (lokasi, klaim kustom, dll.) untuk mengevaluasi perimeter.

Token autentikasi KACLS untuk delegate

Token autentikasi berisi Token Web JSON (JWT) (JWT: RFC 7516) yang merupakan token autentikasi pemilik.

Terkadang, pengguna tidak dapat melakukan autentikasi langsung di klien. Dalam kasus ini, pengguna dapat mendelegasikan akses mereka ke resource tertentu untuk klien tersebut. Hal ini dicapai dengan menerbitkan token autentikasi yang didelegasikan baru yang membatasi cakupan token autentikasi asli.

Token autentikasi yang didelegasikan mirip dengan token autentikasi biasa dengan satu klaim tambahan:

klaim
delegated_to

string

ID untuk entitas yang akan didelegasikan autentikasinya.

Klaim resource_name dalam token autentikasi, dalam konteks delegasi, digunakan untuk mengidentifikasi objek yang dienkripsi oleh Kunci Enkripsi Data (DEK) yang valid untuk delegasi.

Token dikeluarkan oleh Layanan Daftar Kontrol Akses Kunci (KACLS) menggunakan panggilan Delegate. JWT yang ditandatangani sendiri yang dapat divalidasi oleh KACLS, atau KACLS dapat menggunakan IdP lain untuk melakukannya, melalui panggilan tepercaya.

Agar token autentikasi yang didelegasikan dianggap valid, token otorisasi yang didelegasikan harus diberikan untuk operasi yang sama. Token otorisasi yang didelegasikan serupa dengan token otorisasi biasa, tetapi berisi klaim tambahan delegated_to. Nilai klaim delegated_to dan resource_name harus cocok dengan nilai dalam token autentikasi yang didelegasikan.

Sebaiknya tetapkan nilai masa aktif 15 menit untuk token autentikasi yang didelegasikan guna menghindari potensi penggunaan ulang jika terjadi kebocoran.

Representasi JSON 
{
  "email": string,
  "iss": string,
  "aud": string,
  "exp": string,
  "iat": string,
  "google_email": string,
  "delegated_to": string,
  "resource_name": string
  ...
}
Kolom
email

string (UTF-8)

Alamat email pengguna yang diformat UTF-8.
iss

string

Penerbit token harus divalidasi terhadap kumpulan penerbit autentikasi tepercaya.
aud

string

Audiens, sebagaimana diidentifikasi oleh IdP. Harus diperiksa berdasarkan konfigurasi lokal.
exp

string

Waktu habis masa berlaku harus diperiksa.
iat

string

Waktu penerbitan, harus diperiksa.
delegated_to

string

ID untuk entitas yang akan didelegasikan autentikasinya.
resource_name

string

ID untuk objek yang dienkripsi oleh DEK, yang delegasinya valid.
...

KACLS bebas menggunakan klaim lain (lokasi, klaim kustom, dll.) untuk mengevaluasi perimeter.

Token autentikasi KACLS untuk PrivilegedUnwrap

Token pemilik (JWT: RFC 7516) yang dikeluarkan oleh partner identitas (IdP) untuk membuktikan identitas pengguna.

Opsi ini hanya digunakan di PrivilegedUnwrap. Selama PrivilegedUnwrap, jika JWT KACLS digunakan sebagai pengganti token autentikasi IDP, KACLS penerima harus mengambil JWKS penerbit terlebih dahulu, lalu memverifikasi tanda tangan token, sebelum memeriksa klaim.

Representasi JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
Kolom
aud

string

Audiens, sebagaimana diidentifikasi oleh IdP. Untuk operasi enkripsi sisi klien (CSE) PrivilegedUnwrap Drive, nilai ini harus kacls-migration.
exp

string

Waktu habis masa berlaku.
iat

string

Waktu penerbitan.
iss

string

Penerbit token. Harus divalidasi terhadap kumpulan penerbit autentikasi tepercaya. Harus cocok dengan KACLS_URL dari KACLS yang meminta. Kumpulan kunci publik penerbit dapat ditemukan di /certs.
kacls_url

string

URL KACLS saat ini, tempat data didekripsi.
resource_name

string

ID untuk objek yang dienkripsi oleh DEK. Ukuran maksimum: 128 byte.
...

Layanan Daftar Kontrol Akses Kunci (KACLS) Anda bebas menggunakan klaim lain (lokasi, klaim kustom, dll.) untuk mengevaluasi perimeter.