Authentifizierungs-Tokens

Inhabertoken (JWT: RFC 7516) Sie werden vom Identitätspartner (IdP) ausgestellt, um die Identität eines Nutzers zu bestätigen.

JSON-Darstellung
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
Felder
aud

string

Die vom IdP identifizierte Zielgruppe. Sollte mit der lokalen Konfiguration verglichen werden.

email

string (UTF-8)

Die E-Mail-Adresse des Nutzers.

exp

string

Ablaufzeit.

iat

string

Ausstellungszeit.

iss

string

Der Tokenaussteller. Sollte mit der Gruppe vertrauenswürdiger Authentifizierungsaussteller validiert werden.

google_email

string

Eine optionale Anforderung, die verwendet wird, wenn sich die E-Mail-Anforderung in diesem JWT von der Google Workspace-E-Mail-ID des Nutzers unterscheidet. Dieser Anspruch die Google Workspace-E-Mail-Identität des Nutzers enthält.

...

Ihr Key Access Control List Service (KACLS) kann andere Anforderungen (Standort, benutzerdefinierte Anforderung usw.) zur Bewertung des Perimeters verwenden.

KACLS-Authentifizierungstoken für PrivilegedUnwrap

Inhabertoken (JWT: RFC 7516) Sie werden vom Identitätspartner (IdP) ausgestellt, um die Identität eines Nutzers zu bestätigen.

Wird nur für PrivilegedUnwrap verwendet. Wenn während des PrivilegedUnwrap ein KACLS Das JWT wird anstelle eines IdP-Authentifizierungstokens verwendet. Die KACLS des Empfängers müssen rufen Sie zuerst das JWKS des Ausstellers ab und prüfen Sie dann die Tokensignatur. die Überprüfung der Ansprüche.

JSON-Darstellung
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
Felder
aud

string

Die vom IdP identifizierte Zielgruppe. Für PrivilegedUnwrap-Vorgänge der clientseitigen Verschlüsselung (CSE) in Drive sollte kacls-migration lauten.

exp

string

Ablaufzeit.

iat

string

Ausstellungszeit.

iss

string

Der Tokenaussteller. Sollte mit der Gruppe vertrauenswürdiger Authentifizierungsaussteller validiert werden. Muss mit dem KACLS_URL des anfragenden KACLS übereinstimmen. Den öffentlichen Schlüsselsatz des Ausstellers finden Sie unter /certs.

kacls_url

string

URL des aktuellen KACLS, über das die Daten entschlüsselt werden.

resource_name

string

Eine Kennung für das vom DEK verschlüsselte Objekt. Maximale Größe: 128 Byte.

...

Ihr Key Access Control List Service (KACLS) kann andere Anforderungen (Standort, benutzerdefinierte Anforderung usw.) zur Bewertung des Perimeters verwenden.