Token del portador (JWT: RFC 7519) emitido por el proveedor de identidad (IdP) para certificar la identidad de un usuario.
| Representación JSON | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
|
| Campos | |
|---|---|
aud |
El público, según lo identifica el IdP. Se debe verificar con la configuración local. |
email |
La dirección de correo electrónico del usuario. |
exp |
Hora de vencimiento. |
iat |
Tiempo de emisión. |
iss |
El emisor del token. Se debe validar con el conjunto de emisores de autenticación de confianza. |
google_email |
Una reclamación opcional que se usará cuando la reclamación de correo electrónico en este JWT sea diferente del ID de correo electrónico de Google Workspace del usuario. Esta reclamación contiene la identidad de correo electrónico de Google Workspace del usuario. |
... |
Tu servicio de lista de control de acceso a claves (KACLS) puede usar cualquier otra reclamación (ubicación, reclamación personalizada, etcétera) para evaluar el perímetro. |
Token de autenticación de KACLS para delegate
El token de autenticación contiene un token web JSON (JWT) (JWT: RFC 7519) que es un token de autenticación del portador.
A veces, un usuario no puede autenticarse directamente en un cliente. En estos casos, el usuario puede delegar su acceso a un recurso específico a ese cliente. Esto se logra mediante la emisión de un nuevo token de autenticación delegado que limita el alcance del token de autenticación original.
El token de autenticación delegado es similar al token de autenticación normal con una reclamación adicional:
| reclamar | |
|---|---|
delegated_to |
Un identificador para la entidad a la que se delegará la autenticación. |
La reclamación resource_name en el token de autenticación se usa, en un contexto de delegación, para identificar el objeto encriptado por la clave de encriptación de datos (DEK) para el que es válida la delegación.
El token lo emite el servicio de lista de control de acceso a claves (KACLS) con la llamada Delegate. Pueden ser JWT autofirmados que KACLS puede validar, o KACLS puede usar cualquier otro IdP para hacerlo, a través de una llamada de confianza.
Para que el token de autenticación delegado se considere válido, se debe proporcionar un token de autorización delegado para la misma operación. El token de autorización delegado es similar al token de autorización normal, pero contiene la reclamación adicional delegated_to. Los valores de las reclamaciones delegated_to y resource_name deben coincidir con los valores del token de autenticación delegado.
Te recomendamos que establezcas un valor de ciclo de vida de 15 minutos para los tokens de autenticación delegados para evitar la posible reutilización en caso de filtración.
| Representación JSON | |
|---|---|
{ "email": string, "iss": string, "aud": string, "exp": string, "iat": string, "google_email": string, "delegated_to": string, "resource_name": string ... } |
|
| Campos | |
|---|---|
email |
La dirección de correo electrónico del usuario con formato UTF-8. |
iss |
El emisor del token se debe validar con el conjunto de emisores de autenticación de confianza. |
aud |
El público, según lo identifica el IdP. Se debe verificar con la configuración local. |
exp |
Se debe verificar la hora de vencimiento. |
iat |
Se debe verificar el tiempo de emisión. |
delegated_to |
Un identificador para la entidad a la que se delegará la autenticación. |
resource_name |
Un identificador para el objeto encriptado por la DEK, para el que es válida la delegación. |
... |
El KACLS puede usar cualquier otra reclamación (ubicación, reclamación personalizada, etcétera) para evaluar el perímetro. |
Token de autenticación de KACLS para PrivilegedUnwrap
Token del portador (JWT: RFC 7519) emitido por el proveedor de identidad (IdP) para certificar la identidad de un usuario.
Esto solo se usa en PrivilegedUnwrap. Durante PrivilegedUnwrap, si se usa un JWT de KACLS en lugar de un token de autenticación de IdP, el KACLS receptor primero debe recuperar el JWKS del emisor y, luego, verificar la firma del token antes de verificar las reclamaciones.
| Representación JSON | |
|---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
|
| Campos | |
|---|---|
aud |
El público, según lo identifica el IdP. Para las operaciones de encriptación del cliente (CSE) de Google Drive
|
exp |
Hora de vencimiento. |
iat |
Tiempo de emisión. |
iss |
El emisor del token. Se debe validar con el conjunto de
emisores de autenticación de confianza. Debe coincidir con el |
kacls_url |
Es la URL del KACLS actual en el que se desencriptan los datos. |
resource_name |
Un identificador para el objeto encriptado por la DEK. El tamaño máximo es de: 128 bytes. |
... |
Tu servicio de lista de control de acceso a claves (KACLS) puede usar cualquier otra reclamación (ubicación, reclamación personalizada, etcétera) para evaluar el perímetro. |