身份验证令牌

不记名令牌(JWT:RFC 7516) (由身份合作伙伴 (IdP) 颁发),用于证明用户的身份。

JSON 表示法
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
字段
aud

string

由 IdP 标识的受众群体。应根据本地配置进行检查。

email

string (UTF-8)

用户的电子邮件地址。

exp

string

到期时间。

iat

string

签发时间。

iss

string

令牌颁发者。应针对受信任的一组身份验证颁发者进行验证。

google_email

string

可选的声明,在此 JWT 中的电子邮件声明与用户的 Google Workspace 电子邮件 ID 不同时使用。此声明 包含用户的 Google Workspace 电子邮件身份。

...

您的密钥访问控制列表服务 (KACLS) 可随意使用任何其他声明(位置、自定义声明等)来评估边界。

PrivilegedUnwrap”的 KACLS 身份验证令牌

不记名令牌(JWT:RFC 7516) (由身份合作伙伴 (IdP) 颁发),用于证明用户的身份。

这仅适用于 PrivilegedUnwrap。在 PrivilegedUnwrap 期间,如果 KACLS JWT 代替了 IDP 身份验证令牌,因此收件人的 KACLS 必须 首先提取颁发者的 JWKS,然后验证令牌签名, 检查声明。

JSON 表示法
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
字段
aud

string

由 IdP 标识的受众群体。对于云端硬盘客户端加密功能 (CSE) PrivilegedUnwrap 操作, 此值应为 kacls-migration

exp

string

到期时间。

iat

string

签发时间。

iss

string

令牌颁发者。应针对受信任的一组身份验证颁发者进行验证。必须与发出请求的 KACLS 的 KACLS_URL 匹配。您可以在 /certs 中找到颁发者的公钥集。

kacls_url

string

当前用于解密数据的 KACLS 的网址。

resource_name

string

由 DEK 加密的对象的标识符。大小上限:128 个字节。

...

您的密钥访问控制列表服务 (KACLS) 可随意使用任何其他声明(位置、自定义声明等)来评估边界。