โทเค็นการตรวจสอบสิทธิ์

โทเค็น Bearer (JWT: RFC 7516) ที่ออกโดยพาร์ทเนอร์ด้านข้อมูลประจำตัว (IdP) เพื่อยืนยันตัวตนของผู้ใช้

การแสดง JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
ช่อง
aud

string

กลุ่มเป้าหมายตามที่ IdP ระบุ ควรตรวจสอบกับการกำหนดค่าในเครื่อง
email

string (UTF-8)

อีเมลของผู้ใช้
exp

string

เวลาหมดอายุ
iat

string

เวลาในการออกบัตร
iss

string

ผู้ออกโทเค็น ควรได้รับการตรวจสอบกับชุดผู้ออกใบรับรองการตรวจสอบสิทธิ์ที่เชื่อถือได้
google_email

string

การอ้างสิทธิ์ที่ไม่บังคับ ซึ่งจะใช้เมื่อการอ้างสิทธิ์อีเมลใน JWT นี้แตกต่างจากรหัสอีเมล Google Workspace ของผู้ใช้ การอ้างสิทธิ์นี้ มีข้อมูลระบุตัวตนทางอีเมล Google Workspace ของผู้ใช้
...

บริการรายการควบคุมการเข้าถึงคีย์ (KACLS) ของคุณสามารถใช้การอ้างสิทธิ์อื่นๆ (ตำแหน่ง การอ้างสิทธิ์ที่กำหนดเอง ฯลฯ) เพื่อประเมินขอบเขตได้โดยไม่มีค่าใช้จ่าย

โทเค็นการตรวจสอบสิทธิ์ KACLS สำหรับ delegate

โทเค็นการตรวจสอบสิทธิ์มีโทเค็นเว็บ JSON (JWT) (JWT: RFC 7516) ซึ่งเป็นโทเค็นการตรวจสอบสิทธิ์แบบ Bearer

บางครั้งผู้ใช้อาจตรวจสอบสิทธิ์ในไคลเอ็นต์โดยตรงไม่ได้ ในกรณีเหล่านี้ ผู้ใช้สามารถมอบสิทธิ์การเข้าถึง ทรัพยากรที่เฉพาะเจาะจงให้กับไคลเอ็นต์นั้นได้ ซึ่งทำได้โดยการออก โทเค็นการตรวจสอบสิทธิ์ที่มอบสิทธิ์ใหม่ซึ่งจำกัดขอบเขตของ โทเค็นการตรวจสอบสิทธิ์เดิม

โทเค็นการตรวจสอบสิทธิ์ที่มอบสิทธิ์จะคล้ายกับโทเค็นการตรวจสอบสิทธิ์ทั่วไป แต่จะมีคำกล่าวอ้างเพิ่มเติม 1 รายการ ดังนี้

อ้างสิทธิ์
delegated_to

string

ตัวระบุสำหรับเอนทิตีที่จะมอบสิทธิ์การตรวจสอบสิทธิ์ให้

ในบริบทการมอบสิทธิ์ ระบบจะใช้resource_nameการอ้างสิทธิ์ในโทเค็นการตรวจสอบสิทธิ์เพื่อระบุออบเจ็กต์ที่เข้ารหัสโดยคีย์การเข้ารหัสข้อมูล (DEK) ซึ่งการมอบสิทธิ์นั้นใช้ได้

โทเค็นออกโดยบริการรายการควบคุมการเข้าถึงคีย์ (KACL) โดยใช้การเรียก Delegate อาจเป็น JWT ที่ลงนามด้วยตนเอง ซึ่ง KACLS สามารถตรวจสอบได้ หรือ KACLS อาจใช้ IdP อื่นเพื่อดำเนินการดังกล่าว ผ่านการเรียกที่เชื่อถือได้

หากต้องการให้ระบบพิจารณาว่าโทเค็นการตรวจสอบสิทธิ์ที่มอบสิทธิ์นั้นถูกต้อง คุณต้องระบุโทเค็นการให้สิทธิ์ที่มอบสิทธิ์สำหรับการดำเนินการเดียวกัน โทเค็นการให้สิทธิ์ที่มอบหมายจะคล้ายกับโทเค็นการให้สิทธิ์ทั่วไป แต่จะมีอ้างสิทธิ์เพิ่มเติม delegated_to ค่าของการอ้างสิทธิ์ delegated_to และ resource_name ต้องตรงกับค่าในโทเค็นการตรวจสอบสิทธิ์ที่มอบสิทธิ์

เราขอแนะนำให้คุณตั้งค่ามูลค่าตลอดอายุการใช้งานเป็น 15 นาทีสำหรับโทเค็นการตรวจสอบสิทธิ์ที่มอบสิทธิ์เพื่อหลีกเลี่ยงการนำกลับมาใช้ซ้ำที่อาจเกิดขึ้นในกรณีที่มีการรั่วไหล

การแสดง JSON 
{
  "email": string,
  "iss": string,
  "aud": string,
  "exp": string,
  "iat": string,
  "google_email": string,
  "delegated_to": string,
  "resource_name": string
  ...
}
ช่อง
email

string (UTF-8)

อีเมลของผู้ใช้ในรูปแบบ UTF-8
iss

string

ควรตรวจสอบผู้ออกโทเค็นกับชุดผู้ออกการตรวจสอบสิทธิ์ที่เชื่อถือได้
aud

string

กลุ่มเป้าหมายตามที่ IdP ระบุ ควรตรวจสอบกับการกำหนดค่าในเครื่อง
exp

string

ควรตรวจสอบเวลาหมดอายุ
iat

string

ควรตรวจสอบเวลาที่ออก
delegated_to

string

ตัวระบุสำหรับเอนทิตีที่จะมอบสิทธิ์การตรวจสอบสิทธิ์ให้
resource_name

string

ตัวระบุสำหรับออบเจ็กต์ที่เข้ารหัสโดย DEK ซึ่งการมอบสิทธิ์ใช้ได้
...

KACLS สามารถใช้การอ้างสิทธิ์อื่นๆ (สถานที่ตั้ง การอ้างสิทธิ์ที่กำหนดเอง ฯลฯ) เพื่อประเมินขอบเขตได้โดยไม่มีค่าใช้จ่าย

โทเค็นการตรวจสอบสิทธิ์ KACLS สำหรับ PrivilegedUnwrap

โทเค็น Bearer (JWT: RFC 7516) ที่ออกโดยพาร์ทเนอร์ด้านข้อมูลประจำตัว (IdP) เพื่อยืนยันตัวตนของผู้ใช้

โดยจะใช้ใน PrivilegedUnwrap เท่านั้น ในระหว่าง PrivilegedUnwrap หากใช้ JWT ของ KACLS แทนโทเค็นการตรวจสอบสิทธิ์ของ IdP ผู้รับ KACLS ต้อง ดึงข้อมูล JWKS ของผู้ออกก่อน จากนั้นจึงยืนยันลายเซ็นโทเค็นก่อน ตรวจสอบการอ้างสิทธิ์

การแสดง JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
ช่อง
aud

string

กลุ่มเป้าหมายตามที่ IdP ระบุ สำหรับการดำเนินการ PrivilegedUnwrap การเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของไดรฟ์ ค่านี้ควรเป็น kacls-migration
exp

string

เวลาหมดอายุ
iat

string

เวลาในการออกบัตร
iss

string

ผู้ออกโทเค็น ควรได้รับการตรวจสอบกับชุดผู้ออกใบรับรองการตรวจสอบสิทธิ์ที่เชื่อถือได้ ต้องตรงกับ KACLS_URL ของ KACLS ที่ขอ คุณดูชุดคีย์สาธารณะของผู้รับรองได้ที่ /certs
kacls_url

string

URL ของ KACLS ปัจจุบันที่ใช้ถอดรหัสข้อมูล
resource_name

string

ตัวระบุสำหรับออบเจ็กต์ที่เข้ารหัสโดย DEK ขนาดสูงสุด: 128 ไบต์
...

บริการรายการควบคุมการเข้าถึงคีย์ (KACLS) ของคุณสามารถใช้การอ้างสิทธิ์อื่นๆ (ตำแหน่ง การอ้างสิทธิ์ที่กำหนดเอง ฯลฯ) เพื่อประเมินขอบเขตได้โดยไม่มีค่าใช้จ่าย