Kimlik sağlayıcı (IdP) tarafından kullanıcının kimliğini onaylamak için verilen taşıyıcı jetonu (JWT: RFC 7519).
| JSON gösterimi | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
|
| Alanlar | |
|---|---|
aud |
IdP tarafından tanımlanan kitle. Yerel yapılandırmaya göre kontrol edilmelidir. |
email |
Kullanıcının e-posta adresi. |
exp |
Geçerlilik sonu. |
iat |
Kartın verilme zamanı. |
iss |
Jetonu veren kuruluş. Kimlik doğrulama verenlerin güvenilir kümesine göre doğrulanmalıdır. |
google_email |
Bu JWT'deki e-posta talebi, kullanıcının Google Workspace e-posta kimliğinden farklı olduğunda kullanılacak isteğe bağlı bir talep. Bu talep, kullanıcının Google Workspace e-posta kimliğini taşır. |
... |
Anahtar Erişim Kontrol Listesi Hizmetiniz (KACLS), sınırı değerlendirmek için diğer talepleri (konum, özel talep vb.) ücretsiz olarak kullanabilir. |
delegate için KACLS kimlik doğrulama jetonu
Kimlik doğrulama jetonu, taşıyıcı kimlik doğrulama jetonu olan bir JSON Web Token (JWT) (JWT: RFC 7519) içerir.
Bazen kullanıcılar, kimliklerini doğrudan bir istemcide doğrulayamaz. Bu gibi durumlarda kullanıcı, belirli bir kaynağa erişimini söz konusu istemciye devredebilir. Bu, orijinal kimlik doğrulama jetonunun kapsamını sınırlayan yeni bir temsilci kimlik doğrulama jetonu verilerek sağlanır.
Yetki verilmiş kimlik doğrulama jetonu, normal kimlik doğrulama jetonuna benzer ancak bir ek talep içerir:
| iddia | |
|---|---|
delegated_to |
Kimlik doğrulama yetkisinin devredileceği tüzel kişinin tanımlayıcısı. |
Kimlik doğrulama jetonundaki resource_name talebi, bir temsil bağlamında, temsilin geçerli olduğu veri şifreleme anahtarı (DEK) ile şifrelenen nesneyi tanımlamak için kullanılır.
Jeton, Delegate çağrısı kullanılarak Anahtar Erişim Kontrol Listesi Hizmeti (KACLS) tarafından verilir. Bu, KACLS'nin doğrulayabildiği kendinden imzalı JWT'ler olabilir veya KACLS, güvenilir bir çağrı aracılığıyla bunu yapmak için başka bir IdP kullanabilir.
Yetkilendirilmiş kimlik doğrulama jetonunun geçerli sayılması için aynı işlem için yetkilendirilmiş yetki jetonu sağlanmalıdır. Yetki verilmiş yetkilendirme jetonu, normal yetkilendirme jetonuna benzer ancak ek delegated_to talebini içerir. delegated_to ve resource_name taleplerinin değerleri, yetkilendirilmiş kimlik doğrulama jetonundaki değerlerle eşleşmelidir.
Sızıntı durumunda olası yeniden kullanımı önlemek için, temsilci kimlik doğrulama jetonlarının kullanım ömrünü 15 dakika olarak ayarlamanızı öneririz.
| JSON gösterimi | |
|---|---|
{ "email": string, "iss": string, "aud": string, "exp": string, "iat": string, "google_email": string, "delegated_to": string, "resource_name": string ... } |
|
| Alanlar | |
|---|---|
email |
Kullanıcının UTF-8 biçimli e-posta adresi. |
iss |
Jetonu veren taraf, güvenilir kimlik doğrulama verenler grubuyla doğrulanmalıdır. |
aud |
IdP tarafından tanımlanan kitle. Yerel yapılandırmaya göre kontrol edilmelidir. |
exp |
Geçerlilik süresi kontrol edilmelidir. |
iat |
Düzenlenme zamanı kontrol edilmelidir. |
delegated_to |
Kimlik doğrulama yetkisinin devredileceği tüzel kişinin tanımlayıcısı. |
resource_name |
DEK ile şifrelenmiş ve yetkilendirmenin geçerli olduğu nesnenin tanımlayıcısı. |
... |
KACLS, sınırı değerlendirmek için diğer talepleri (konum, özel talep vb.) ücretsiz olarak kullanabilir. |
PrivilegedUnwrap için KACLS kimlik doğrulama jetonu
Kimlik sağlayıcı (IdP) tarafından kullanıcının kimliğini onaylamak için verilen taşıyıcı jetonu (JWT: RFC 7519).
Bu yalnızca PrivilegedUnwrap üzerinde kullanılır. PrivilegedUnwrap sırasında, bir IdP kimlik doğrulama jetonu yerine KACLS JWT'si kullanılıyorsa alıcı KACLS'nin önce veren tarafın JWKS'sini getirmesi, ardından talepleri kontrol etmeden önce jeton imzasını doğrulaması gerekir.
| JSON gösterimi | |
|---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
|
| Alanlar | |
|---|---|
aud |
IdP tarafından tanımlanan kitle. Google Drive istemci tarafı şifreleme (İTŞ) |
exp |
Geçerlilik sonu. |
iat |
Kartın verilme zamanı. |
iss |
Jetonu veren kuruluş. Kimlik doğrulama verenlerin güvenilir kümesine göre doğrulanmalıdır. İstekte bulunan KACLS'nin |
kacls_url |
Verilerin şifresinin çözüldüğü geçerli KACLS'nin URL'si. |
resource_name |
DEK ile şifrelenmiş nesnenin tanımlayıcısı. Maksimum boyut: 128 bayt. |
... |
Anahtar Erişim Kontrol Listesi Hizmetiniz (KACLS), sınırı değerlendirmek için diğer talepleri (konum, özel talep vb.) ücretsiz olarak kullanabilir. |