الرموز المميزة للمصادقة

رمز مميّز لحامل الإذن (JWT: RFC 7519) صادر عن موفّر الهوية (IdP) لإثبات هوية المستخدم.

تمثيل JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
الحقول
aud

string

الجمهور، كما يحدّده موفّر الهوية يجب التحقّق من ذلك مقارنةً بالإعدادات المحلية.
email

string (UTF-8)

عنوان البريد الإلكتروني للمستخدِم.
exp

string

وقت انتهاء الصلاحية
iat

string

وقت الإصدار
iss

string

تمثّل هذه السمة جهة إصدار الرمز المميّز. يجب أن يتم التحقّق من صحة هذا المعرّف استنادًا إلى مجموعة موثوقة من جهات إصدار المصادقة.
google_email

string

مطالبة اختيارية، تُستخدَم عندما تكون مطالبة البريد الإلكتروني في رمز JWT هذا مختلفة عن معرّف البريد الإلكتروني الخاص بالمستخدم في Google Workspace. يتضمّن هذا الادّعاء هوية البريد الإلكتروني للمستخدم على Google Workspace.
...

يمكنك استخدام خدمة قائمة التحكّم بالوصول إلى مفاتيح التشفير (KACLS) مجانًا مع أي مطالبات أخرى (الموقع الجغرافي، المطالبة المخصّصة، وما إلى ذلك) لتقييم المحيط.

رمز المصادقة KACLS الخاص بـ delegate

يحتوي رمز المصادقة المميّز على رمز JSON المميّز للويب (JWT) (JWT: RFC 7519) وهو رمز مميّز للمصادقة.

في بعض الأحيان، لا يمكن للمستخدم إجراء المصادقة على جهاز العميل مباشرةً. في هذه الحالات، يمكن للمستخدم تفويض إمكانية الوصول إلى مرجع معيّن إلى هذا العميل. ويتم ذلك من خلال إصدار رمز مميز جديد للمصادقة المفوضة يحد من نطاق رمز المصادقة الأصلي.

يشبه رمز المصادقة المفوض رمز المصادقة العادي مع إضافة مطالبة واحدة:

ادعاء، مطالبة
delegated_to

string

معرّف للكيان الذي سيتم تفويض المصادقة إليه.

يُستخدَم الادعاء resource_name في رمز المصادقة المميّز، في سياق التفويض، لتحديد العنصر المشفّر بواسطة مفتاح تشفير البيانات (DEK) الذي يكون التفويض صالحًا له.

يتم إصدار الرمز المميز من خلال خدمة قائمة التحكّم بالوصول إلى مفاتيح التشفير (KACLS) باستخدام طلب Delegate. ويمكن أن تكون هذه الرموز المميزة عبارة عن رموز JWT ذاتية التوقيع يمكن لخدمة KACLS التحقّق من صحتها، أو يمكن أن تستخدم خدمة KACLS أي موفّر هوية آخر لإجراء ذلك من خلال طلب موثوق به.

لكي يُعدّ رمز المصادقة المفوض صالحًا، يجب تقديم رمز تفويض مفوض للعملية نفسها. يشبه رمز التفويض المفوض رمز التفويض العادي، ولكنّه يتضمّن المطالبة الإضافية delegated_to. يجب أن تتطابق قيمتَي المطالبتَين delegated_to وresource_name مع القيم الواردة في رمز المصادقة المفوض.

ننصحك بتحديد قيمة مدة صلاحية تبلغ 15 دقيقة لرموز المصادقة المفوضة لتجنُّب إعادة استخدامها المحتملة في حال تسرُّبها.

تمثيل JSON 
{
  "email": string,
  "iss": string,
  "aud": string,
  "exp": string,
  "iat": string,
  "google_email": string,
  "delegated_to": string,
  "resource_name": string
  ...
}
الحقول
email

string (UTF-8)

عنوان البريد الإلكتروني للمستخدم بتنسيق UTF-8.
iss

string

يجب التحقّق من صحة جهة إصدار الرمز المميز من خلال مجموعة موثوق بها من جهات إصدار المصادقة.
aud

string

الجمهور، كما يحدّده موفّر الهوية يجب التحقّق من ذلك مقارنةً بالإعدادات المحلية.
exp

string

يجب التحقّق من وقت انتهاء الصلاحية.
iat

string

يجب التحقّق من وقت الإصدار.
delegated_to

string

معرّف للكيان الذي سيتم تفويض المصادقة إليه.
resource_name

string

معرّف للعنصر المشفّر باستخدام مفتاح تشفير البيانات، والذي يكون التفويض صالحًا له.
...

يمكن لنظام KACLS استخدام أي مطالبات أخرى (الموقع الجغرافي، المطالبة المخصّصة، وما إلى ذلك) لتقييم المحيط.

رمز المصادقة المميز في KACLS لحساب PrivilegedUnwrap

رمز مميّز لحامل البطاقة (JWT: RFC 7519) صادر عن موفِّر الهوية (IdP) لإثبات هوية المستخدم

يتم استخدام هذا الخيار فقط على PrivilegedUnwrap. أثناء PrivilegedUnwrap، إذا تم استخدام رمز JWT من KACLS بدلاً من رمز مصادقة من موفّر الهوية، يجب أن يسترد KACLS الخاص بالمستلم أولاً مجموعة مفاتيح JSON الخاصة بجهة الإصدار، ثم يتحقّق من توقيع الرمز المميز قبل التحقّق من المطالبات.

تمثيل JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
الحقول
aud

string

الجمهور، كما يحدّده موفّر الهوية بالنسبة إلى عمليات التشفير من جهة العميل (CSE) في Google Drive، يجب أن تكون القيمة kacls-migration.PrivilegedUnwrap
exp

string

وقت انتهاء الصلاحية
iat

string

وقت الإصدار
iss

string

تمثّل هذه السمة جهة إصدار الرمز المميّز. يجب أن يتم التحقّق من صحة هذا المعرّف استنادًا إلى مجموعة موثوقة من جهات إصدار المصادقة. يجب أن يتطابق مع KACLS_URL الخاص بـ KACLS الذي يتم إرسال الطلب إليه. يمكن العثور على مجموعة المفاتيح العامة الخاصة بالجهة المصدرة على <iss>/certs.
kacls_url

string

عنوان URL لخدمة KACLS الحالية التي يتم فك تشفير البيانات عليها
resource_name

string

معرّف للعنصر المشفّر باستخدام مفتاح تشفير البيانات الحد الأقصى للحجم: 128 بايت.
...

يمكنك استخدام خدمة قائمة التحكّم بالوصول إلى مفاتيح التشفير (KACLS) مجانًا مع أي مطالبات أخرى (الموقع الجغرافي، المطالبة المخصّصة، وما إلى ذلك) لتقييم المحيط.