사용자의 ID를 증명하기 위해 ID 공급업체 (IdP)에서 발급한 Bearer 토큰 (JWT: RFC 7519)입니다.
| JSON 표현 | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
|
| 필드 | |
|---|---|
aud |
IdP에서 식별한 대상입니다. 로컬 구성에 대해 확인해야 합니다. |
email |
사용자의 이메일 주소 |
exp |
만료 시간입니다. |
iat |
발급 시간입니다. |
iss |
토큰 발급기관입니다. 신뢰할 수 있는 인증 발급자 집합에 대해 검증해야 합니다. |
google_email |
이 JWT의 이메일 클레임이 사용자의 Google Workspace 이메일 ID와 다른 경우에 사용할 선택적 클레임입니다. 이 클레임은 사용자의 Google Workspace 이메일 ID를 전달합니다. |
... |
키 액세스 제어 목록 서비스 (KACLS)는 다른 클레임 (위치, 맞춤 클레임 등)을 사용하여 경계를 평가할 수 있습니다. |
delegate의 KACLS 인증 토큰
인증 토큰에는 Bearer 인증 토큰인 JSON 웹 토큰 (JWT) (JWT: RFC 7519)이 포함되어 있습니다.
사용자가 클라이언트에서 직접 인증할 수 없는 경우가 있습니다. 이러한 경우 사용자는 특정 리소스에 대한 액세스 권한을 해당 클라이언트에 위임할 수 있습니다. 이는 원래 인증 토큰의 범위를 제한하는 새로운 위임된 인증 토큰을 발급하여 달성됩니다.
위임된 인증 토큰은 일반 인증 토큰과 유사하지만 다음과 같은 클레임이 하나 더 있습니다.
| 주장 | |
|---|---|
delegated_to |
인증을 위임할 항목의 식별자입니다. |
인증 토큰의 resource_name 클레임은 위임 컨텍스트에서 위임이 유효한 데이터 암호화 키(DEK)로 암호화된 객체를 식별하는 데 사용됩니다.
토큰은 Delegate 호출을 사용하여 키 액세스 제어 목록 서비스 (KACLS)에서 발급합니다. KACLS가 검증할 수 있는 자체 서명 JWT일 수도 있고, KACLS가 신뢰할 수 있는 호출을 통해 다른 IdP를 사용하여 검증할 수도 있습니다.
위임된 인증 토큰이 유효한 것으로 간주되려면 동일한 작업에 대해 위임된 승인 토큰이 제공되어야 합니다. 위임된 승인 토큰은 일반 승인 토큰과 비슷하지만 delegated_to이라는 추가 클레임이 포함되어 있습니다. delegated_to 및 resource_name 클레임의 값은 위임된 인증 토큰의 값과 일치해야 합니다.
유출 시 잠재적인 재사용을 방지하기 위해 위임된 인증 토큰의 수명을 15분으로 설정하는 것이 좋습니다.
| JSON 표현 | |
|---|---|
{ "email": string, "iss": string, "aud": string, "exp": string, "iat": string, "google_email": string, "delegated_to": string, "resource_name": string ... } |
|
| 필드 | |
|---|---|
email |
사용자의 UTF-8 형식 이메일 주소입니다. |
iss |
토큰 발급자는 신뢰할 수 있는 인증 발급자 집합에 대해 검증되어야 합니다. |
aud |
IdP에서 식별한 대상입니다. 로컬 구성에 대해 확인해야 합니다. |
exp |
만료 시간을 확인해야 합니다. |
iat |
발급 시간을 확인해야 합니다. |
delegated_to |
인증을 위임할 항목의 식별자입니다. |
resource_name |
DEK로 암호화된 객체의 식별자입니다. 위임이 유효합니다. |
... |
KACLS는 다른 클레임 (위치, 맞춤 클레임 등)을 사용하여 경계를 평가할 수 있습니다. |
PrivilegedUnwrap의 KACLS 인증 토큰
사용자의 신원을 증명하기 위해 ID 공급업체 (IdP)에서 발급한 Bearer 토큰 (JWT: RFC 7519)입니다.
이 값은 PrivilegedUnwrap에서만 사용됩니다. PrivilegedUnwrap 중에 IDP 인증 토큰 대신 KACLS JWT를 사용하는 경우 수신자 KACLS는 클레임을 확인하기 전에 먼저 발급자의 JWKS를 가져온 다음 토큰 서명을 확인해야 합니다.
| JSON 표현 | |
|---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
|
| 필드 | |
|---|---|
aud |
IdP에서 식별한 대상입니다. Google Drive 클라이언트 측 암호화 (CSE) |
exp |
만료 시간입니다. |
iat |
발급 시간입니다. |
iss |
토큰 발급기관입니다. 신뢰할 수 있는 인증 발급자 집합에 대해 검증해야 합니다. 요청하는 KACLS의 |
kacls_url |
데이터가 복호화되는 현재 KACLS의 URL입니다. |
resource_name |
DEK로 암호화된 객체의 식별자입니다. 최대 크기: 128바이트 |
... |
키 액세스 제어 목록 서비스 (KACLS)는 다른 클레임 (위치, 맞춤 클레임 등)을 사용하여 경계를 평가할 수 있습니다. |