Tokeny uwierzytelniania

Token okaziciela (JWT: RFC 7519) wydany przez dostawcę tożsamości w celu potwierdzenia tożsamości użytkownika.

Zapis JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
Pola
aud

string

Odbiorcy zidentyfikowani przez dostawcę tożsamości. Należy sprawdzić, czy jest zgodna z lokalną konfiguracją.
email

string (UTF-8)

Adres e-mail użytkownika.
exp

string

Data ważności.
iat

string

Czas wydania.
iss

string

Wystawca tokena. Powinny być weryfikowane na podstawie zaufanego zestawu wystawców uwierzytelniania.
google_email

string

Opcjonalna deklaracja używana, gdy deklaracja dotycząca adresu e-mail w tym JWT różni się od identyfikatora e-mail użytkownika Google Workspace. To roszczenie zawiera tożsamość e-mail użytkownika Google Workspace.
...

Usługa listy kontroli dostępu do kluczy (KACLS) może bezpłatnie korzystać z innych roszczeń (lokalizacja, roszczenie niestandardowe itp.) w celu oceny obszaru.

Token uwierzytelniania KACLS dla delegate

Token uwierzytelniający zawiera token sieciowy JSON (JWT) (JWT: RFC 7519), który jest tokenem uwierzytelniającym typu bearer.

Czasami użytkownik nie może uwierzytelnić się bezpośrednio na urządzeniu klienta. W takich przypadkach użytkownik może przekazać klientowi dostęp do określonego zasobu. Osiąga się to przez wydanie nowego tokena uwierzytelniania delegowanego, który ogranicza zakres pierwotnego tokena uwierzytelniania.

Token przekazanego uwierzytelniania jest podobny do zwykłego tokena uwierzytelniania, ale zawiera jeszcze jedno dodatkowe roszczenie:

twierdzenie : stwierdzenie
delegated_to

string

Identyfikator podmiotu, któremu ma zostać przekazane uwierzytelnianie.

W kontekście delegowania roszczenie resource_name w tokenie uwierzytelniającym służy do identyfikowania obiektu zaszyfrowanego za pomocą klucza szyfrującego dane (DEK), dla którego delegowanie jest ważne.

Token jest wydawany przez usługę listy kontroli dostępu do kluczy (KACLS) za pomocą wywołania Delegate. Mogą to być tokeny JWT z podpisem własnym, które KACLS może zweryfikować, lub KACLS może użyć do tego dowolnego innego dostawcy tożsamości za pomocą zaufanego wywołania.

Aby token uwierzytelniania delegowanego został uznany za prawidłowy, w przypadku tej samej operacji musi zostać podany token autoryzacji delegowanej. Token autoryzacji delegowanej jest podobny do zwykłego tokena autoryzacji, ale zawiera dodatkowe roszczenie delegated_to. Wartości roszczeń delegated_toresource_name muszą być zgodne z wartościami w tokenie uwierzytelniania delegowanego.

Aby uniknąć potencjalnego ponownego użycia w przypadku wycieku danych, zalecamy ustawienie czasu życia delegowanych tokenów uwierzytelniania na 15 minut.

Zapis JSON 
{
  "email": string,
  "iss": string,
  "aud": string,
  "exp": string,
  "iat": string,
  "google_email": string,
  "delegated_to": string,
  "resource_name": string
  ...
}
Pola
email

string (UTF-8)

Adres e-mail użytkownika w formacie UTF-8.
iss

string

Wydawca tokena powinien być zweryfikowany na podstawie zaufanego zestawu wydawców uwierzytelniania.
aud

string

Odbiorcy zidentyfikowani przez dostawcę tożsamości. Należy sprawdzić, czy jest zgodna z lokalną konfiguracją.
exp

string

Czas wygaśnięcia powinien być sprawdzony.
iat

string

Czas wydania należy sprawdzić.
delegated_to

string

Identyfikator podmiotu, któremu ma zostać przekazane uwierzytelnianie.
resource_name

string

Identyfikator obiektu zaszyfrowanego za pomocą klucza DEK, dla którego delegowanie jest ważne.
...

Usługa KACLS może używać innych roszczeń (lokalizacja, roszczenie niestandardowe itp.) do oceny obszaru.

Token uwierzytelniania KACLS dla PrivilegedUnwrap

Token okaziciela (JWT: RFC 7519) wydany przez dostawcę tożsamości w celu potwierdzenia tożsamości użytkownika.

Jest on używany tylko w przypadku PrivilegedUnwrap. Podczas PrivilegedUnwrap, jeśli zamiast tokena uwierzytelniania dostawcy tożsamości używany jest token JWT KACLS, odbiorca KACLS musi najpierw pobrać zestaw kluczy JWK wystawcy, a następnie zweryfikować podpis tokena przed sprawdzeniem deklaracji.

Zapis JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
Pola
aud

string

Odbiorcy zidentyfikowani przez dostawcę tożsamości. W przypadku operacji szyfrowania po stronie klienta w Google Drive powinno to być kacls-migration.PrivilegedUnwrap
exp

string

Data ważności.
iat

string

Czas wydania.
iss

string

Wystawca tokena. Powinny być weryfikowane na podstawie zaufanego zestawu wystawców uwierzytelniania. Musi być zgodny z KACLS_URL żądającego KACLS. Zbiór kluczy publicznych wydawcy można znaleźć pod adresem <iss>/certs.
kacls_url

string

Adres URL bieżącego KACLS, na którym dane są odszyfrowywane.
resource_name

string

Identyfikator obiektu zaszyfrowany za pomocą klucza DEK. Maksymalny rozmiar: 128 bajtów.
...

Usługa listy kontroli dostępu do kluczy (KACLS) może bezpłatnie korzystać z innych roszczeń (lokalizacja, roszczenie niestandardowe itp.) w celu oceny obszaru.