โทเค็นการตรวจสอบสิทธิ์

โทเค็น Bearer (JWT: RFC 7519) ที่ออกโดย ผู้ให้บริการข้อมูลประจำตัว (IdP) เพื่อยืนยันตัวตนของผู้ใช้

การแสดง JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
ช่อง
aud

string

กลุ่มเป้าหมายตามที่ IdP ระบุ ควรตรวจสอบเทียบกับ การกำหนดค่าในเครื่อง
email

string (UTF-8)

อีเมลของผู้ใช้
exp

string

เวลาหมดอายุ
iat

string

เวลาในการออกบัตร
iss

string

ผู้ออกโทเค็น ควรได้รับการตรวจสอบกับชุดที่เชื่อถือได้ของ ผู้ออกการตรวจสอบสิทธิ์
google_email

string

การอ้างสิทธิ์ที่ไม่บังคับ ซึ่งจะใช้เมื่อการอ้างสิทธิ์อีเมลใน JWT นี้ แตกต่างจากรหัสอีเมล Google Workspace ของผู้ใช้ การอ้างสิทธิ์นี้ มีข้อมูลระบุตัวตนทางอีเมล Google Workspace ของผู้ใช้
...

บริการรายการควบคุมการเข้าถึงคีย์ (KACLS) ของคุณสามารถใช้การอ้างสิทธิ์อื่นๆ (ตำแหน่ง การอ้างสิทธิ์ที่กำหนดเอง ฯลฯ) เพื่อประเมินขอบเขตได้โดยไม่มีค่าใช้จ่าย

โทเค็นการตรวจสอบสิทธิ์ KACLS สำหรับ delegate

โทเค็นการตรวจสอบสิทธิ์มีโทเค็นเว็บ JSON (JWT) (JWT: RFC 7519) ซึ่งเป็นโทเค็นการตรวจสอบสิทธิ์แบบ Bearer

บางครั้งผู้ใช้อาจตรวจสอบสิทธิ์ในไคลเอ็นต์โดยตรงไม่ได้ ในกรณีเหล่านี้ ผู้ใช้สามารถมอบสิทธิ์เข้าถึงทรัพยากรที่เฉพาะเจาะจงให้กับไคลเอ็นต์นั้นได้ โดยทำได้ด้วยการออกโทเค็นการตรวจสอบสิทธิ์ที่มอบสิทธิ์ใหม่ซึ่ง จำกัดขอบเขตของโทเค็นการตรวจสอบสิทธิ์เดิม

โทเค็นการตรวจสอบสิทธิ์ที่ได้รับมอบจะคล้ายกับโทเค็นการตรวจสอบสิทธิ์ทั่วไป โดยมีคำกล่าวอ้างเพิ่มเติม 1 รายการ ดังนี้

อ้างสิทธิ์
delegated_to

string

ตัวระบุสำหรับเอนทิตีที่จะมอบสิทธิ์การตรวจสอบสิทธิ์ให้

ในบริบทของการมอบสิทธิ์ ระบบจะใช้resource_nameการอ้างสิทธิ์ในโทเค็นการตรวจสอบสิทธิ์เพื่อระบุออบเจ็กต์ที่เข้ารหัสโดยคีย์การเข้ารหัสข้อมูล (DEK) ซึ่งการมอบสิทธิ์นั้นใช้ได้

โทเค็นออกโดยบริการรายการควบคุมการเข้าถึงคีย์ (KACLS) โดยใช้การเรียก Delegate อาจเป็น JWT แบบ Self-signed ที่ KACLS สามารถ ตรวจสอบได้ หรือ KACLS อาจใช้ IdP อื่นๆ เพื่อดำเนินการดังกล่าวผ่านการเรียกที่เชื่อถือได้

หากต้องการให้ระบบพิจารณาว่าโทเค็นการตรวจสอบสิทธิ์ที่มอบสิทธิ์นั้นถูกต้อง คุณต้องระบุโทเค็นการให้สิทธิ์ที่มอบสิทธิ์สำหรับการดำเนินการเดียวกัน โทเค็นการให้สิทธิ์ที่มอบหมายจะคล้ายกับโทเค็นการให้สิทธิ์ทั่วไป แต่จะมีอ้างสิทธิ์เพิ่มเติม delegated_to ค่าของการอ้างสิทธิ์ delegated_to และ resource_name ต้องตรงกับค่าในโทเค็นการตรวจสอบสิทธิ์ที่มอบหมาย

เราขอแนะนำให้คุณตั้งค่ามูลค่าตลอดอายุการใช้งานเป็น 15 นาทีสำหรับโทเค็นการตรวจสอบสิทธิ์ที่มอบสิทธิ์เพื่อหลีกเลี่ยงการนำไปใช้ซ้ำที่อาจเกิดขึ้นในกรณีที่มีการรั่วไหล

การแสดง JSON 
{
  "email": string,
  "iss": string,
  "aud": string,
  "exp": string,
  "iat": string,
  "google_email": string,
  "delegated_to": string,
  "resource_name": string
  ...
}
ช่อง
email

string (UTF-8)

อีเมลของผู้ใช้ในรูปแบบ UTF-8
iss

string

ควรตรวจสอบผู้ออกโทเค็นกับชุดผู้ออกการตรวจสอบสิทธิ์ที่เชื่อถือได้

aud

string

กลุ่มเป้าหมายตามที่ IdP ระบุ ควรตรวจสอบเทียบกับ การกำหนดค่าในเครื่อง
exp

string

ควรตรวจสอบเวลาหมดอายุ
iat

string

ควรตรวจสอบเวลาที่ออก
delegated_to

string

ตัวระบุสำหรับเอนทิตีที่จะมอบสิทธิ์การตรวจสอบสิทธิ์ให้
resource_name

string

ตัวระบุสำหรับออบเจ็กต์ที่เข้ารหัสโดย DEK ซึ่งการมอบสิทธิ์ ใช้ได้
...

KACLS สามารถใช้การอ้างสิทธิ์อื่นๆ (สถานที่ตั้ง การอ้างสิทธิ์ที่กำหนดเอง ฯลฯ) เพื่อประเมินขอบเขตได้โดยไม่มีค่าใช้จ่าย

โทเค็นการตรวจสอบสิทธิ์ KACLS สำหรับ PrivilegedUnwrap

โทเค็น Bearer (JWT: RFC 7519) ที่ออกโดยผู้ให้บริการข้อมูลประจำตัว (IdP) เพื่อยืนยันตัวตนของผู้ใช้

โดยจะใช้ใน PrivilegedUnwrap เท่านั้น ในระหว่าง PrivilegedUnwrap หากใช้ JWT ของ KACLS แทนโทเค็นการตรวจสอบสิทธิ์ IDP ผู้รับ KACLS ต้อง ดึงข้อมูล JWKS ของผู้ออกก่อน จากนั้นจึงยืนยันลายเซ็นโทเค็นก่อน ตรวจสอบการอ้างสิทธิ์

การแสดง JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
ช่อง
aud

string

กลุ่มเป้าหมายตามที่ IdP ระบุ สำหรับการดำเนินการเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google ไดรฟ์ ค่านี้ควรเป็น kacls-migrationPrivilegedUnwrap
exp

string

เวลาหมดอายุ
iat

string

เวลาในการออกบัตร
iss

string

ผู้ออกโทเค็น ควรได้รับการตรวจสอบกับชุดที่เชื่อถือได้ของ ผู้ออกการตรวจสอบสิทธิ์ ต้องตรงกับ KACLS_URL ของ KACLS ที่ขอ คุณดูชุดคีย์สาธารณะของผู้รับรองได้ที่ <iss>/certs
kacls_url

string

URL ของ KACLS ปัจจุบันที่ใช้ถอดรหัสข้อมูล
resource_name

string

ตัวระบุสำหรับออบเจ็กต์ที่เข้ารหัสโดย DEK ขนาดสูงสุด: 128 ไบต์
...

บริการรายการควบคุมการเข้าถึงคีย์ (KACLS) ของคุณสามารถใช้การอ้างสิทธิ์อื่นๆ (ตำแหน่ง การอ้างสิทธิ์ที่กำหนดเอง ฯลฯ) เพื่อประเมินขอบเขตได้โดยไม่มีค่าใช้จ่าย