رمز الحامل المميّز (JWT: RFC 7516) الصادر عن شريك الهوية (IdP) للمصادقة على هوية المستخدم.
تمثيل JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
الحقول | |
---|---|
aud |
الجمهور، كما هو محدد بواسطة موفِّر الهوية. يجب التحقّق منه مقابل الإعدادات المحلية. |
email |
عنوان البريد الإلكتروني للمستخدم |
exp |
وقت انتهاء الصلاحية |
iat |
وقت الإصدار |
iss |
جهة إصدار الرمز المميّز يجب التحقّق من صحته من خلال المجموعة الموثوق بها من جهات إصدار المصادقة. |
google_email |
مطالبة اختيارية يتم استخدامها عندما تختلف المطالبة عبر البريد الإلكتروني في JWT هذا عن رقم تعريف البريد الإلكتروني للمستخدم في Google Workspace. وتتضمن هذه المطالبة هوية البريد الإلكتروني للمستخدم في Google Workspace. |
... |
يُتاح لخدمة قائمة التحكم في الوصول إلى المفاتيح (KACLS) استخدام أي مطالبات أخرى (الموقع، المطالبة المخصصة، إلخ) لتقييم المحيط. |
الرمز المميز لمصادقة KACLS لـ PrivilegedUnwrap
رمز الحامل المميّز (JWT: RFC 7516) الصادر عن شريك الهوية (IdP) للمصادقة على هوية المستخدم.
تُستخدم هذه المعلومات على PrivilegedUnwrap
فقط. خلال PrivilegedUnwrap
، في حال استخدام نظام KACLS
JWT بدلاً من الرمز المميّز لمصادقة موفِّر الهوية، على أن يجلب خادم KACLS
أولاً ملفات JWKS الخاصة بجهة الإصدار، ثم يتحقّق من توقيع الرمز المميّز قبل
التحقّق من المطالبات.
تمثيل JSON | |
---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
الحقول | |
---|---|
aud |
الجمهور، كما هو محدد بواسطة موفِّر الهوية. بالنسبة إلى عمليات التشفير من جهة العميل (CSE) في Drive |
exp |
وقت انتهاء الصلاحية |
iat |
وقت الإصدار |
iss |
جهة إصدار الرمز المميّز يجب التحقّق من صحته من خلال المجموعة الموثوق بها من جهات إصدار المصادقة. يجب أن يتطابق مع |
kacls_url |
عنوان URL لنظام KACLS الحالي الذي يتم فك تشفير البيانات عليه. |
resource_name |
معرّف للكائن المُشفَّر بواسطة DEK. الحد الأقصى للحجم: 128 بايت. |
... |
يُتاح لخدمة قائمة التحكم في الوصول إلى المفاتيح (KACLS) استخدام أي مطالبات أخرى (الموقع، المطالبة المخصصة، إلخ) لتقييم المحيط. |