Токены аутентификации

Токен носителя ( JWT: RFC 7519 ), выдаваемый поставщиком идентификационных данных (IdP) для подтверждения личности пользователя.

JSON-представление 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
Поля
aud

string

Целевая аудитория, определенная поставщиком идентификации (IdP), должна быть проверена на соответствие локальной конфигурации.

email

string (UTF-8)

Адрес электронной почты пользователя.

exp

string

Срок годности.

iat

string

Время выдачи.

iss

string

Эмитент токена. Должен быть проверен на соответствие доверенному набору эмитентов аутентификации.

google_email

string

Необязательное утверждение, используемое в случае, если адрес электронной почты в этом JWT отличается от адреса электронной почты пользователя в Google Workspace. Это утверждение содержит идентификатор электронной почты пользователя в Google Workspace.

...

Ваша служба контроля доступа по ключу (KACLS) может использовать любые другие данные (местоположение, пользовательские данные и т. д.) для оценки периметра.

Токен аутентификации KACLS для delegate

Аутентификационный токен содержит JSON Web Token (JWT) ( JWT: RFC 7519 ), который является токеном аутентификации носителя.

Иногда пользователь не может пройти аутентификацию непосредственно на клиентском компьютере. В таких случаях пользователь может делегировать доступ к определенному ресурсу этому клиенту. Это достигается путем выдачи нового делегированного токена аутентификации, который ограничивает область действия исходного токена аутентификации.

Делегированный токен аутентификации аналогичен обычному токену аутентификации, но с одним дополнительным условием:

требовать
delegated_to

string

Идентификатор сущности, которой будет делегирована аутентификация.

В контексте делегирования поле resource_name в токене аутентификации используется для идентификации объекта, зашифрованного ключом шифрования данных (DEK), для которого действительно делегирование.

Токен выдается службой списков контроля доступа к ключам (KACLS) с использованием вызова Delegate . Это могут быть либо самоподписанные JWT, которые KACLS может проверить, либо KACLS может использовать для этого любого другого поставщика идентификации (IdP) через доверенный вызов.

Для того чтобы делегированный токен аутентификации считался действительным, для той же операции необходимо предоставить делегированный токен авторизации. Делегированный токен авторизации аналогичен обычному токену авторизации, но содержит дополнительное утверждение delegated_to . Значения утверждений delegated_to и resource_name должны совпадать со значениями в делегированном токене аутентификации.

Мы рекомендуем установить срок действия делегированных токенов аутентификации на уровне 15 минут, чтобы избежать их повторного использования в случае утечки данных.

JSON-представление 
{
  "email": string,
  "iss": string,
  "aud": string,
  "exp": string,
  "iat": string,
  "google_email": string,
  "delegated_to": string,
  "resource_name": string
  ...
}
Поля
email

string (UTF-8)

Адрес электронной почты пользователя в формате UTF-8.

iss

string

Эмитент токена должен быть проверен на соответствие доверенному набору эмитентов аутентификации.

aud

string

Целевая аудитория, определенная поставщиком идентификации (IdP), должна быть проверена на соответствие локальной конфигурации.

exp

string

Необходимо проверить срок годности.

iat

string

Необходимо проверить время выдачи.

delegated_to

string

Идентификатор сущности, которой будет делегирована аутентификация.

resource_name

string

Идентификатор объекта, зашифрованного с помощью DEK, для которого допустимо делегирование.

...

KACLS имеет право использовать любые другие претензии (местоположение, таможенные претензии и т. д.) для оценки периметра.

Токен аутентификации KACLS для PrivilegedUnwrap

Токен носителя ( JWT: RFC 7519 ), выдаваемый поставщиком идентификационных данных (IdP) для подтверждения личности пользователя.

Это используется только в PrivilegedUnwrap . Во время PrivilegedUnwrap , если вместо токена аутентификации IDP используется JWT KACLS, KACLS получателя должен сначала получить JWKS эмитента, затем проверить подпись токена, прежде чем проверять утверждения.

JSON-представление 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
Поля
aud

string

Целевая аудитория определяется поставщиком идентификации (IdP). Для операций PrivilegedUnwrap с использованием клиентского шифрования (CSE) в Google Drive это должно быть kacls-migration .

exp

string

Срок годности.

iat

string

Время выдачи.

iss

string

Эмитент токена. Должен быть проверен на соответствие доверенному набору эмитентов аутентификации. Должен совпадать с KACLS_URL запрашивающего KACLS. Набор открытых ключей эмитента можно найти по адресу <iss>/certs .

kacls_url

string

URL текущего списка KACLS, по которому происходит расшифровка данных.

resource_name

string

Идентификатор объекта, зашифрованного с помощью DEK. Максимальный размер: 128 байт.

...

Ваша служба контроля доступа по ключу (KACLS) может использовать любые другие данные (местоположение, пользовательские данные и т. д.) для оценки периметра.