ID プロバイダ(IdP)によって発行され、ユーザーの ID を証明するベアラートークン(JWT: RFC 7519) 。
| JSON 表現 | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
|
| フィールド | |
|---|---|
aud |
IdP によって識別されるオーディエンス。ローカル構成と照合する必要があります。 |
email |
ユーザーのメール アドレスです。 |
exp |
有効期限。 |
iat |
発行時間。 |
iss |
トークン発行者。信頼できる認証発行者のセットに対して検証する必要があります。 |
google_email |
この JWT のメール クレームがユーザーの Google Workspace メール ID と 異なる場合に使用する省略可能なクレーム。このクレーム には、ユーザーの Google Workspace メール ID が含まれます。 |
... |
鍵アクセス制御リスト サービス(KACLS)は、他のクレーム(ロケーション、カスタム クレームなど)を使用して境界を評価できます。 |
delegate の KACLS 認証トークン
認証トークンには、ベアラ認証トークンである JSON ウェブトークン(JWT)(JWT: RFC 7519)が含まれています。
クライアントでユーザーを直接認証できない場合があります。このような場合、ユーザーは特定のクライアントへのリソースへのアクセスを委任できます。 これは、元の認証トークンのスコープを制限する新しい委任認証トークンを発行することで実現します。
委任認証トークンは、通常の認証トークンと似ていますが、1 つのクレームが追加されています。
| 申し立て | |
|---|---|
delegated_to |
認証を委任するエンティティの識別子。 |
認証トークンの resource_name クレームは、委任コンテキストでは、委任が有効なデータ暗号鍵(DEK)で暗号化されたオブジェクトを識別するために使用されます。
トークンは、Delegate 呼び出しを使用して鍵アクセス制御リスト サービス(KACLS)によって発行されます。KACLS が検証できる自己署名 JWT である場合もあれば、KACLS が信頼できる呼び出しを通じて他の IdP を使用して検証する場合もあります。
委任認証トークンが有効と見なされるには、同じオペレーションに対して委任承認トークンを指定する必要があります。委任承認トークンは通常の承認トークンと似ていますが、delegated_to という追加のクレームが含まれています。delegated_to クレームと resource_name クレームの値は、委任認証トークンの値と一致する必要があります。
漏洩した場合に再利用される可能性を回避するため、委任認証トークンの有効期間を 15 分に設定することをおすすめします。
| JSON 表現 | |
|---|---|
{ "email": string, "iss": string, "aud": string, "exp": string, "iat": string, "google_email": string, "delegated_to": string, "resource_name": string ... } |
|
| フィールド | |
|---|---|
email |
ユーザーの UTF-8 形式のメール アドレス。 |
iss |
トークン発行者は、信頼できる認証発行者のセットに対して検証する必要があります。 |
aud |
IdP によって識別されるオーディエンス。ローカル構成と照合する必要があります。 |
exp |
有効期限。確認する必要があります。 |
iat |
発行時間。確認する必要があります。 |
delegated_to |
認証を委任するエンティティの識別子。 |
resource_name |
委任が有効な DEK で暗号化されたオブジェクトの識別子。 |
... |
KACLS は、他のクレーム(ロケーション、カスタム クレーム、 など)を使用して境界を評価できます。 |
PrivilegedUnwrap の KACLS 認証トークン
ID プロバイダ(IdP)によって発行され、ユーザーの ID を証明するベアラートークン(JWT: RFC 7519)
これは PrivilegedUnwrap でのみ使用されます。PrivilegedUnwrap で、IdP 認証トークンの代わりに KACLS JWT が使用される場合、受信側の KACLS は、クレームを確認する前に、まず発行者の JWKS を取得し、トークン署名を検証する必要があります。
| JSON 表現 | |
|---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
|
| フィールド | |
|---|---|
aud |
IdP によって識別されるオーディエンス。Google ドライブのクライアントサイド暗号化(CSE)オペレーションの場合、これは |
exp |
有効期限。 |
iat |
発行時間。 |
iss |
トークン発行者。信頼できる認証発行者のセットに対して検証する必要があります。リクエスト元の KACLS の |
kacls_url |
データが復号化される現在の KACLS の URL。 |
resource_name |
DEK で暗号化されたオブジェクトの識別子。最大サイズ: 128 バイト。 |
... |
鍵アクセス制御リスト サービス(KACLS)は、他のクレーム(ロケーション、カスタム クレームなど)を使用して境界を評価できます。 |