توکن های احراز هویت

توکن حامل ( JWT: RFC 7516 ) که توسط شریک هویت (IdP) برای تأیید هویت کاربر صادر می‌شود.

نمایش JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
فیلدها
aud

string

مخاطب، همانطور که توسط IdP شناسایی شده است، باید با پیکربندی محلی بررسی شود.

email

string (UTF-8)

آدرس ایمیل کاربر.

exp

string

زمان انقضا.

iat

string

زمان صدور.

iss

string

صادرکننده توکن. باید در برابر مجموعه قابل اعتماد صادرکنندگان احراز هویت، اعتبارسنجی شود.

google_email

string

یک claim اختیاری، که زمانی استفاده می‌شود که email claim در این JWT با شناسه ایمیل Google Workspace کاربر متفاوت باشد. این claim حاوی شناسه ایمیل Google Workspace کاربر است.

...

سرویس فهرست کنترل دسترسی کلیدی (KACLS) شما می‌تواند از هرگونه ادعای دیگری (مکان، ادعای سفارشی و غیره) برای ارزیابی محیط استفاده کند.

توکن احراز هویت KACLS برای delegate

توکن احراز هویت شامل یک توکن وب JSON (JWT) ( JWT: RFC 7516 ) است که یک توکن احراز هویت حامل است.

گاهی اوقات یک کاربر قادر به احراز هویت مستقیم در یک کلاینت نیست. در این موارد، کاربر می‌تواند دسترسی خود به یک منبع خاص را به آن کلاینت واگذار کند. این کار از طریق صدور یک توکن احراز هویت جدید واگذار شده که دامنه توکن احراز هویت اصلی را محدود می‌کند، انجام می‌شود.

توکن احراز هویت واگذار شده مشابه توکن احراز هویت معمولی است با یک درخواست اضافی:

ادعا
delegated_to

string

شناسه‌ای برای نهادی که احراز هویت به آن واگذار می‌شود.

عبارت resource_name در توکن احراز هویت، در یک زمینه واگذاری، برای شناسایی شیء رمزگذاری شده توسط کلید رمزگذاری داده (DEK) که واگذاری برای آن معتبر است، استفاده می‌شود.

این توکن توسط سرویس فهرست کنترل دسترسی کلید (KACLS) با استفاده از فراخوانی Delegate صادر می‌شود. این توکن می‌تواند JWTهای خودامضا باشند که KACLS قادر به اعتبارسنجی آنها است، یا KACLS ممکن است از هر IdP دیگری برای انجام این کار، از طریق یک فراخوانی قابل اعتماد، استفاده کند.

برای اینکه توکن احراز هویت واگذار شده معتبر در نظر گرفته شود، باید یک توکن مجوز واگذار شده برای همان عملیات ارائه شود. توکن مجوز واگذار شده مشابه توکن مجوز معمولی است، اما شامل ادعای اضافی delegated_to نیز می‌باشد. مقادیر ادعاهای delegated_to و resource_name باید با مقادیر موجود در توکن احراز هویت واگذار شده مطابقت داشته باشند.

توصیه می‌کنیم برای توکن‌های احراز هویت واگذار شده، طول عمر ۱۵ دقیقه‌ای تعیین کنید تا در صورت نشت اطلاعات، از استفاده مجدد احتمالی جلوگیری شود.

نمایش JSON 
{
  "email": string,
  "iss": string,
  "aud": string,
  "exp": string,
  "iat": string,
  "google_email": string,
  "delegated_to": string,
  "resource_name": string
  ...
}
فیلدها
email

string (UTF-8)

آدرس ایمیل کاربر با فرمت UTF-8.

iss

string

صادرکننده توکن باید در برابر مجموعه قابل اعتماد صادرکنندگان احراز هویت، اعتبارسنجی شود.

aud

string

مخاطب، همانطور که توسط IdP شناسایی شده است، باید با پیکربندی محلی بررسی شود.

exp

string

زمان انقضا، باید بررسی شود.

iat

string

زمان صدور، باید بررسی شود.

delegated_to

string

شناسه‌ای برای نهادی که احراز هویت به آن واگذار می‌شود.

resource_name

string

شناسه‌ای برای شیء رمزگذاری شده توسط DEK که واگذاری برای آن معتبر است.

...

KACLS آزاد است که از هرگونه ادعای دیگری (مکان، ادعای سفارشی و غیره) برای ارزیابی محیط استفاده کند.

توکن احراز هویت KACLS برای PrivilegedUnwrap

توکن حامل ( JWT: RFC 7516 ) که توسط شریک هویت (IdP) برای تأیید هویت کاربر صادر می‌شود.

این فقط در PrivilegedUnwrap استفاده می‌شود. در طول PrivilegedUnwrap ، اگر از JWT KACLS به جای توکن احراز هویت IDP استفاده شود، گیرنده KACLS ابتدا باید JWKS صادرکننده را دریافت کند، سپس امضای توکن را قبل از بررسی ادعاها تأیید کند.

نمایش JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
فیلدها
aud

string

مخاطب، همانطور که توسط IdP مشخص شده است. برای عملیات رمزگذاری سمت کلاینت درایو (CSE) PrivilegedUnwrap ، این باید kacls-migration باشد.

exp

string

زمان انقضا.

iat

string

زمان صدور.

iss

string

صادرکننده‌ی توکن. باید در برابر مجموعه‌ی قابل اعتماد صادرکنندگان احراز هویت اعتبارسنجی شود. باید با KACLS_URL مربوط به KACLS درخواست‌کننده مطابقت داشته باشد. مجموعه کلید عمومی صادرکننده را می‌توانید در آدرس زیر بیابید. /certs .

kacls_url

string

آدرس اینترنتی KACLS فعلی که داده‌ها روی آن رمزگشایی می‌شوند.

resource_name

string

شناسه‌ای برای شیء رمزگذاری شده توسط DEK. حداکثر اندازه: ۱۲۸ بایت.

...

سرویس فهرست کنترل دسترسی کلیدی (KACLS) شما می‌تواند از هرگونه ادعای دیگری (مکان، ادعای سفارشی و غیره) برای ارزیابی محیط استفاده کند.