Tokens de autenticação

Token de portador (JWT: RFC 7516) emitido pelo parceiro de identidade (IdP) para atestar a identidade de um usuário.

Representação JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
Campos
aud

string

O público-alvo, conforme identificado pelo IdP. Deve ser verificado na configuração local.
email

string (UTF-8)

O endereço de e-mail do usuário.
exp

string

Prazo de validade.
iat

string

Horário de emissão.
iss

string

O emissor do token. Precisa ser validado pelo conjunto confiável de emissores de autenticação.
google_email

string

Uma declaração opcional, usada quando a declaração de e-mail neste JWT é diferente do ID de e-mail do Google Workspace do usuário. Essa declaração contém a identidade de e-mail do usuário no Google Workspace.
...

Seu serviço de lista de controle de acesso a chaves (KACLS) pode usar qualquer outra declaração (localização, declaração personalizada etc.) para avaliar o perímetro.

Token de autenticação KACLS para PrivilegedUnwrap

Token de portador (JWT: RFC 7516) emitido pelo parceiro de identidade (IdP) para atestar a identidade de um usuário.

Esse recurso é usado apenas em PrivilegedUnwrap. Durante o PrivilegedUnwrap, se um JWT do KACLS for usado no lugar de um token de autenticação do IDP, o KACLS do destinatário precisará buscar primeiro os JWKS do emissor e depois verificar a assinatura do token antes de verificar as declarações.

Representação JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
Campos
aud

string

O público-alvo, conforme identificado pelo IdP. Para operações de PrivilegedUnwrap da criptografia do lado do cliente (CSE) do Drive, use kacls-migration.
exp

string

Prazo de validade.
iat

string

Horário de emissão.
iss

string

O emissor do token. Precisa ser validado pelo conjunto confiável de emissores de autenticação. Precisa corresponder ao KACLS_URL do KACLS solicitante. O conjunto de chaves públicas do emissor pode ser encontrado em /certs.
kacls_url

string

URL do KACLS atual, em que os dados estão sendo descriptografados.
resource_name

string

Um identificador do objeto criptografado pelo DEK. Tamanho máximo: 128 bytes.
...

Seu serviço de lista de controle de acesso a chaves (KACLS, na sigla em inglês) pode usar qualquer outra reivindicação (localização, reivindicação personalizada etc.) para avaliar o perímetro.