โทเค็นการตรวจสอบสิทธิ์

โทเค็น Bearer (JWT: RFC 7519) ที่ออกโดย ผู้ให้บริการข้อมูลประจำตัว (IdP) เพื่อยืนยันตัวตนของผู้ใช้

การแสดง JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
ช่อง
aud

string

กลุ่มเป้าหมายตามที่ IdP ระบุ ควรตรวจสอบกับ การกำหนดค่าในเครื่อง
email

string (UTF-8)

อีเมลของผู้ใช้
exp

string

เวลาหมดอายุ
iat

string

เวลาในการออกบัตร
iss

string

ผู้ออกโทเค็น ควรได้รับการตรวจสอบกับชุดผู้ออกใบรับรองการตรวจสอบสิทธิ์ที่เชื่อถือได้

google_email

string

การอ้างสิทธิ์ที่ไม่บังคับ ซึ่งจะใช้เมื่อการอ้างสิทธิ์อีเมลใน JWT นี้ แตกต่างจากรหัสอีเมล Google Workspace ของผู้ใช้ การอ้างสิทธิ์นี้ มีข้อมูลระบุตัวตนทางอีเมล Google Workspace ของผู้ใช้
...

บริการรายการควบคุมการเข้าถึงคีย์ (KACLS) ของคุณสามารถใช้การอ้างสิทธิ์อื่นๆ (ตำแหน่ง การอ้างสิทธิ์ที่กำหนดเอง ฯลฯ) เพื่อประเมินขอบเขตได้โดยไม่มีค่าใช้จ่าย

โทเค็นการตรวจสอบสิทธิ์ KACLS สำหรับ delegate

โทเค็นการตรวจสอบสิทธิ์มีโทเค็นเว็บ JSON (JWT) (JWT: RFC 7519) ซึ่งเป็นโทเค็นการตรวจสอบสิทธิ์แบบ Bearer

บางครั้งผู้ใช้อาจตรวจสอบสิทธิ์ในไคลเอ็นต์โดยตรงไม่ได้ ในกรณีเหล่านี้ ผู้ใช้สามารถมอบสิทธิ์เข้าถึงทรัพยากรที่เฉพาะเจาะจงให้กับไคลเอ็นต์นั้นได้ ซึ่งทำได้โดยการออกโทเค็นการตรวจสอบสิทธิ์ที่มอบสิทธิ์ใหม่ซึ่ง จำกัดขอบเขตของโทเค็นการตรวจสอบสิทธิ์เดิม

โทเค็นการตรวจสอบสิทธิ์ที่ได้รับมอบจะคล้ายกับโทเค็นการตรวจสอบสิทธิ์ทั่วไป โดยมีคำกล่าวอ้างเพิ่มเติม 1 รายการ ดังนี้

อ้างสิทธิ์
delegated_to

string

ตัวระบุสำหรับเอนทิตีที่จะมอบสิทธิ์การตรวจสอบสิทธิ์ให้

resource_name ในโทเค็นการตรวจสอบสิทธิ์จะใช้ในบริบทการมอบสิทธิ์ เพื่อระบุออบเจ็กต์ที่เข้ารหัสโดยคีย์การเข้ารหัสข้อมูล (DEK) ซึ่งการมอบสิทธิ์นั้นถูกต้อง

โทเค็นออกโดยบริการรายการควบคุมการเข้าถึงคีย์ (KACLS) โดยใช้การเรียก Delegate อาจเป็น JWT แบบ Self-signed ที่ KACLS สามารถ ตรวจสอบได้ หรือ KACLS อาจใช้ IdP อื่นเพื่อดำเนินการดังกล่าวผ่านการเรียกที่เชื่อถือได้

หากต้องการให้ระบบพิจารณาว่าโทเค็นการตรวจสอบสิทธิ์ที่มอบสิทธิ์นั้นถูกต้อง คุณต้องระบุโทเค็นการให้สิทธิ์ที่มอบสิทธิ์สำหรับการดำเนินการเดียวกัน โทเค็นการให้สิทธิ์ที่มอบหมายจะคล้ายกับโทเค็นการให้สิทธิ์ทั่วไป แต่มีคำกล่าวอ้างเพิ่มเติม delegated_to ค่าของการอ้างสิทธิ์ delegated_to และ resource_name ต้องตรงกับค่าในโทเค็นการตรวจสอบสิทธิ์ที่มอบสิทธิ์

เราขอแนะนำให้คุณตั้งค่ามูลค่าตลอดอายุการใช้งานเป็น 15 นาทีสำหรับโทเค็นการตรวจสอบสิทธิ์ที่มอบสิทธิ์เพื่อหลีกเลี่ยงการนำกลับมาใช้ซ้ำที่อาจเกิดขึ้นในกรณีที่มีการรั่วไหล

การแสดง JSON 
{
  "email": string,
  "iss": string,
  "aud": string,
  "exp": string,
  "iat": string,
  "google_email": string,
  "delegated_to": string,
  "resource_name": string
  ...
}
ช่อง
email

string (UTF-8)

อีเมลของผู้ใช้ในรูปแบบ UTF-8
iss

string

ควรตรวจสอบผู้ออกโทเค็นกับชุดผู้ออกการตรวจสอบสิทธิ์ที่เชื่อถือได้
aud

string

กลุ่มเป้าหมายตามที่ IdP ระบุ ควรตรวจสอบกับ การกำหนดค่าในเครื่อง
exp

string

ควรตรวจสอบเวลาหมดอายุ
iat

string

ควรตรวจสอบเวลาที่ออก
delegated_to

string

ตัวระบุสำหรับเอนทิตีที่จะมอบสิทธิ์การตรวจสอบสิทธิ์ให้
resource_name

string

ตัวระบุสำหรับออบเจ็กต์ที่เข้ารหัสโดย DEK ซึ่งการมอบสิทธิ์ ใช้ได้
...

KACLS สามารถใช้การอ้างสิทธิ์อื่นๆ (สถานที่ตั้ง การอ้างสิทธิ์ที่กำหนดเอง ฯลฯ) เพื่อประเมินขอบเขตได้โดยไม่มีค่าใช้จ่าย

โทเค็นการตรวจสอบสิทธิ์ KACLS สำหรับ PrivilegedUnwrap

โทเค็นผู้ถือสิทธิ์ (JWT: RFC 7519) ที่ออกโดยผู้ให้บริการข้อมูลประจำตัว (IdP) เพื่อยืนยันตัวตนของผู้ใช้

โดยจะใช้ใน PrivilegedUnwrap เท่านั้น ในระหว่าง PrivilegedUnwrap หากใช้ JWT ของ KACLS แทนโทเค็นการตรวจสอบสิทธิ์ IDP ผู้รับ KACLS ต้องดึงข้อมูล JWKS ของผู้ออกก่อน จากนั้นจึงยืนยันลายเซ็นโทเค็นก่อนตรวจสอบการอ้างสิทธิ์

การแสดง JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
ช่อง
aud

string

กลุ่มเป้าหมายตามที่ IdP ระบุ สำหรับการดำเนินการเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google ไดรฟ์ ค่านี้ควรเป็น kacls-migrationPrivilegedUnwrap
exp

string

เวลาหมดอายุ
iat

string

เวลาในการออกบัตร
iss

string

ผู้ออกโทเค็น ควรได้รับการตรวจสอบกับชุดผู้ออกใบรับรองการตรวจสอบสิทธิ์ที่เชื่อถือได้ ต้องตรงกับ KACLS_URL ของ KACLS ที่ขอ คุณดูชุดคีย์สาธารณะของผู้รับรองได้ที่ <iss>/certs
kacls_url

string

URL ของ KACLS ปัจจุบันที่ใช้ถอดรหัสข้อมูล
resource_name

string

ตัวระบุสำหรับออบเจ็กต์ที่เข้ารหัสโดย DEK ขนาดสูงสุด: 128 ไบต์
...

บริการรายการควบคุมการเข้าถึงคีย์ (KACLS) ของคุณสามารถใช้การอ้างสิทธิ์อื่นๆ (ตำแหน่ง การอ้างสิทธิ์ที่กำหนดเอง ฯลฯ) เพื่อประเมินขอบเขตได้โดยไม่มีค่าใช้จ่าย