Jeton de support (JWT: RFC 7516) émis par le partenaire d'identité (IdP) pour attester de l'identité d'un utilisateur.
Représentation JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
Champs | |
---|---|
aud |
Audience, telle qu'identifiée par le fournisseur d'identité. Doit être vérifié par rapport à la configuration locale. |
email |
Adresse e-mail de l'utilisateur. |
exp |
Délai d'expiration. |
iat |
Heure d'émission. |
iss |
Émetteur de jeton. Validation par rapport à l'ensemble d'émetteurs d'authentification de confiance |
google_email |
Revendication facultative, à utiliser lorsque la revendication de l'adresse e-mail dans ce jeton JWT est différente de l'ID d'adresse e-mail Google Workspace de l'utilisateur. Cette revendication contient l'identité de messagerie Google Workspace de l'utilisateur. |
... |
Votre service de liste de contrôle d'accès aux clés (KACLS) est libre d'utiliser d'autres revendications (emplacement, revendication personnalisée, etc.) pour évaluer le périmètre. |
Jeton d'authentification KACLS pour PrivilegedUnwrap
Jeton de support (JWT: RFC 7516) émis par le partenaire d'identité (IdP) pour attester de l'identité d'un utilisateur.
Il n'est utilisé que sur PrivilegedUnwrap
. Pendant PrivilegedUnwrap
, si un jeton JWT KACLS est utilisé à la place d'un jeton d'authentification IdP, le KACLS destinataire doit d'abord récupérer les JWKS de l'émetteur, puis vérifier la signature du jeton avant de vérifier les revendications.
Représentation JSON | |
---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
Champs | |
---|---|
aud |
Audience, telle qu'identifiée par le fournisseur d'identité. Pour les opérations de chiffrement côté client (CSE) Drive |
exp |
Délai d'expiration. |
iat |
Heure d'émission. |
iss |
Émetteur de jeton. Validation par rapport à l'ensemble d'émetteurs d'authentification de confiance Doit correspondre au |
kacls_url |
URL de la fonction KACLS actuelle, sur laquelle les données sont déchiffrées. |
resource_name |
Identifiant de l'objet chiffré par la clé DEK. Taille maximale: 128 octets. |
... |
Votre service de liste de contrôle d'accès aux clés (KACLS) est libre d'utiliser d'autres revendications (emplacement, revendication personnalisée, etc.) pour évaluer le périmètre. |