אסימון למוכ"ז (JWT: RFC 7516) שהונפק על ידי שותף הזהויות (IdP) כדי לאמת את זהות המשתמש.
| ייצוג ב-JSON | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
|
| שדות | |
|---|---|
aud |
הקהל, כפי שזוהה על ידי ספק הזהויות. צריך לבדוק את ההגדרה המקומית. |
email |
כתובת האימייל של המשתמש. |
exp |
מועד התפוגה. |
iat |
זמן ההנפקה. |
iss |
הישות שהנפיקה את הטוקן. צריך לאמת את המזהה מול קבוצת המנפיקים המהימנים של אימות. |
google_email |
הצהרה אופציונלית, לשימוש במקרים שבהם ההצהרה על כתובת האימייל ב-JWT שונה ממזהה האימייל של המשתמש ב-Google Workspace. התביעה הזו כוללת את זהות האימייל של המשתמש ב-Google Workspace. |
... |
אתם יכולים להשתמש בחינם בשירות רשימת המפתחות של בקרת הגישה (KACLS) כדי להעריך את ההיקף באמצעות טענות אחרות (מיקום, טענה מותאמת אישית וכו'). |
טוקן אימות של KACLS עבור delegate
אסימון האימות מכיל אסימון אינטרנט מסוג JSON (JWT) (JWT: RFC 7516) שהוא אסימון אימות מסוג bearer.
לפעמים משתמש לא יכול לבצע אימות ישירות בלקוח. במקרים כאלה, המשתמש יכול להעניק ללקוח הרשאה לגשת למשאב ספציפי. הדבר מתבצע באמצעות הנפקת טוקן אימות חדש עם הרשאת גישה מוגבלת, שמגביל את ההיקף של טוקן האימות המקורי.
טוקן האימות שהוקצה דומה לטוקן האימות הרגיל, עם טענה נוספת אחת:
| טענה : הצהרה [לפי ההקשר] | |
|---|---|
delegated_to |
מזהה של הישות שאליה מועברת סמכות האימות. |
הצהרת resource_name באסימון האימות משמשת, בהקשר של הענקת הרשאה, לזיהוי האובייקט שהוצפן על ידי המפתח להצפנת נתונים (DEK) שעבורו ההרשאה תקפה.
האסימון מונפק על ידי שירות רשימת המפתחות של בקרת הגישה (KACLS) באמצעות קריאת הפונקציה Delegate. יכול להיות שאלה אסימוני JWT בחתימה עצמית ש-KACLS יכול לאמת, או ש-KACLS יכול להשתמש בכל ספק זהויות אחר כדי לעשות זאת, באמצעות קריאה מהימנה.
כדי שאסימון האימות עם הרשאת גישה יחשב כתקף, צריך לספק אסימון הרשאה עם הרשאת גישה לאותה פעולה. אסימון ההרשאה שהוקצתה דומה לאסימון ההרשאה הרגיל, אבל הוא מכיל את הטענה הנוספת delegated_to. הערכים בהצהרות delegated_to ו-resource_name חייבים להיות זהים לערכים באסימון האימות שהוקצה.
מומלץ להגדיר ערך של 15 דקות לזמן החיים של אסימוני האימות שהוקצו, כדי למנוע שימוש חוזר פוטנציאלי במקרה של דליפה.
| ייצוג ב-JSON | |
|---|---|
{ "email": string, "iss": string, "aud": string, "exp": string, "iat": string, "google_email": string, "delegated_to": string, "resource_name": string ... } |
|
| שדות | |
|---|---|
email |
כתובת האימייל של המשתמש בפורמט UTF-8. |
iss |
צריך לאמת את מנפיק האסימון מול קבוצת מנפיקי האימות המהימנים. |
aud |
הקהל, כפי שזוהה על ידי ספק הזהויות. צריך לבדוק את ההגדרה המקומית. |
exp |
צריך לסמן את תיבת הסימון 'שעת התפוגה'. |
iat |
צריך לבדוק את שעת ההנפקה. |
delegated_to |
מזהה של הישות שאליה מועברת סמכות האימות. |
resource_name |
מזהה של האובייקט שמוצפן באמצעות מפתח ה-DEK, שההרשאה תקפה לגביו. |
... |
ל-KACLS יש חופש להשתמש בכל טענה אחרת (מיקום, טענה מותאמת אישית וכו') כדי להעריך את ההיקף. |
טוקן אימות של KACLS עבור PrivilegedUnwrap
אסימון למוכ"ז (JWT: RFC 7516) שהונפק על ידי שותף הזהויות (IdP) כדי לאמת את זהות המשתמש.
ההגדרה הזו רלוונטית רק ל-PrivilegedUnwrap. במהלך PrivilegedUnwrap, אם נעשה שימוש ב-JWT של KACLS במקום באסימון אימות של ספק זהויות, מערכת KACLS של הנמען צריכה קודם לאחזר את JWKS של המנפיק, ואז לאמת את חתימת האסימון, לפני בדיקת הטענות.
| ייצוג ב-JSON | |
|---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
|
| שדות | |
|---|---|
aud |
הקהל, כפי שזוהה על ידי ספק הזהויות. עבור פעולות של הצפנה מצד הלקוח (CSE) ב-Drive |
exp |
מועד התפוגה. |
iat |
זמן ההנפקה. |
iss |
הישות שהנפיקה את הטוקן. צריך לאמת את המזהה מול קבוצת המנפיקים המהימנים של אימות. חייב להיות זהה ל- |
kacls_url |
כתובת ה-URL של KACLS הנוכחי, שבו הנתונים מפוענחים. |
resource_name |
מזהה של האובייקט שמוצפן באמצעות מפתח הצפנת הנתונים. הגודל המקסימלי: 128 בייטים. |
... |
השירות Key Access Control List Service (KACLS) מאפשר להשתמש בחינם בכל טענה אחרת (מיקום, טענה מותאמת אישית וכו') כדי להעריך את ההיקף. |