Tokens de autenticação

Token do portador (JWT: RFC 7516) emitido pelo parceiro de identidade (IdP) para atestar a identidade de um usuário.

Representação JSON
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
Campos
aud

string

O público-alvo, conforme identificado pelo IdP. Precisa ser verificado em relação à configuração local.

email

string (UTF-8)

O endereço de e-mail do usuário.

exp

string

Tempo de expiração.

iat

string

Horário de emissão.

iss

string

O emissor do token. Precisa ser validado em relação ao conjunto confiável de emissores de autenticação.

google_email

string

Uma declaração opcional, a ser usada quando a declaração do e-mail neste JWT for diferente do ID do e-mail do Google Workspace do usuário. Esta reivindicação carrega a identidade de e-mail do Google Workspace do usuário.

...

O serviço de lista de controle de acesso a chaves (KACLS, na sigla em inglês) é livre para usar qualquer outra declaração (local, personalizada etc.) para avaliar o perímetro.

Token de autenticação do KACLS para PrivilegedUnwrap

Token do portador (JWT: RFC 7516) emitido pelo parceiro de identidade (IdP) para atestar a identidade de um usuário.

Ele é usado apenas no PrivilegedUnwrap. Durante PrivilegedUnwrap, se um KACLS O JWT é usado no lugar de um token de autenticação do IdP, o KACLS destinatário deve primeiro busque o JWKS do emissor e depois verifique a assinatura do token, antes verificar as declarações.

Representação JSON
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
Campos
aud

string

O público-alvo, conforme identificado pelo IdP. Para operações PrivilegedUnwrap de criptografia do lado do cliente (CSE) do Google Drive, esse valor precisa ser kacls-migration.

exp

string

Tempo de expiração.

iat

string

Horário de emissão.

iss

string

O emissor do token. Precisa ser validado em relação ao conjunto confiável de emissores de autenticação. Precisa corresponder aos KACLS_URL dos KACLS solicitantes. O conjunto de chaves públicas do emissor pode ser encontrado em /certs.

kacls_url

string

URL do KACLS atual em que os dados estão sendo descriptografados.

resource_name

string

Um identificador do objeto criptografado pela DEK. Tamanho máximo: 128 bytes.

...

O serviço de lista de controle de acesso a chaves (KACLS, na sigla em inglês) é livre para usar qualquer outra declaração (local, personalizada etc.) para avaliar o perímetro.