Token del portador (JWT: RFC 7516) que emite el socio de identidad (IdP) para certificar la identidad de un usuario.
Representación JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
Campos | |
---|---|
aud |
El público, según lo identifica el IdP. Debe verificarse con la configuración local. |
email |
La dirección de correo electrónico del usuario. |
exp |
Hora de vencimiento. |
iat |
Tiempo de emisión. |
iss |
El emisor del token. Debe validarse con el conjunto de entidades emisoras de autenticación de confianza. |
google_email |
Es una reclamación opcional, que se usará cuando la reclamación de correo electrónico de este JWT sea diferente del ID de correo electrónico de Google Workspace del usuario. Este reclamo lleva la identidad de correo electrónico de Google Workspace del usuario. |
... |
Tu servicio de lista de control de acceso a las claves (KACLS) puede usar cualquier otra reclamación (ubicación, reclamación personalizada, etc.) para evaluar el perímetro. |
Token de autenticación de KACLS para PrivilegedUnwrap
Token del portador (JWT: RFC 7516) que emite el socio de identidad (IdP) para certificar la identidad de un usuario.
Solo se usa en PrivilegedUnwrap
. Durante PrivilegedUnwrap
, si se usa un JWT de KACLS en lugar de un token de autenticación de IdP, las KACLS destinatarios primero deben recuperar los JWKS del emisor y, luego, verificar la firma del token antes de revisar las reclamaciones.
Representación JSON | |
---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
Campos | |
---|---|
aud |
El público, según lo identifica el IdP. Para las operaciones |
exp |
Hora de vencimiento. |
iat |
Tiempo de emisión. |
iss |
El emisor del token. Debe validarse con el conjunto de entidades emisoras de autenticación de confianza. Debe coincidir con el |
kacls_url |
URL de las KACLS actuales sobre las que se desencriptan los datos. |
resource_name |
Un identificador para el objeto encriptado por la DEK. Tamaño máximo: 128 bytes. |
... |
Tu servicio de lista de control de acceso a las claves (KACLS) puede usar cualquier otra reclamación (ubicación, reclamación personalizada, etc.) para evaluar el perímetro. |