Tokens de autenticación

Es un token del portador (JWT: RFC 7516) que emite el socio de identidad (IdP) para certificar la identidad de un usuario.

Representación JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
Campos
aud

string

El público, tal como lo identifica el IdP Se debe verificar en función de la configuración local.
email

string (UTF-8)

La dirección de correo electrónico del usuario.
exp

string

Hora de vencimiento
iat

string

Es el tiempo de emisión.
iss

string

El emisor del token. Se debe validar en función del conjunto de emisores de autenticación de confianza.
google_email

string

Es una reclamación opcional que se debe usar cuando la reclamación de correo electrónico en este JWT es diferente del ID de correo electrónico de Google Workspace del usuario. Este reclamo lleva la identidad de correo electrónico de Google Workspace del usuario.
...

Tu servicio de lista de control de acceso de claves (KACLS) puede usar cualquier otro reclamo (ubicación, reclamo personalizado, etcétera) para evaluar el perímetro.

Token de autenticación de KACLS para PrivilegedUnwrap

Es un token del portador (JWT: RFC 7516) que emite el socio de identidad (IdP) para certificar la identidad de un usuario.

Solo se usa en PrivilegedUnwrap. Durante PrivilegedUnwrap, si se usa un JWT de KACLS en lugar de un token de autenticación de IDP, el KACLS del destinatario primero debe recuperar el JWKS del emisor y, luego, verificar la firma del token antes de verificar las reclamaciones.

Representación JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
Campos
aud

string

El público, tal como lo identifica el IdP Para las operaciones PrivilegedUnwrap de la encriptación del cliente (CSE) de Drive, debe ser kacls-migration.
exp

string

Hora de vencimiento
iat

string

Es el tiempo de emisión.
iss

string

El emisor del token. Se debe validar en función del conjunto de emisores de autenticación de confianza. Debe coincidir con el KACLS_URL de los KACLS solicitantes. El conjunto de claves públicas del emisor se puede encontrar en /certs.
kacls_url

string

Es la URL del KACLS actual en la que se desencriptan los datos.
resource_name

string

Es un identificador para el objeto encriptado por la DEK. Tamaño máximo: 128 bytes.
...

Tu servicio de lista de control de acceso de claves (KACLS) puede usar cualquier otro reclamo (ubicación, reclamo personalizado, etcétera) para evaluar el perímetro.