사용자의 ID를 증명하기 위해 ID 공급업체 (IdP)에서 발급한 전달자 토큰 (JWT: RFC 7519)입니다.
| JSON 표현 | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
|
| 필드 | |
|---|---|
aud |
IdP에서 식별한 대상입니다. 로컬 구성과 비교하여 확인해야 합니다. |
email |
사용자의 이메일 주소입니다. |
exp |
만료 시간입니다. |
iat |
발급 시간입니다. |
iss |
토큰 발급기관입니다. 신뢰할 수 있는 인증 발급기관 집합에 대해 유효성을 검사해야 합니다. |
google_email |
선택적 클레임으로, 이 JWT의 이메일 클레임이 사용자의 Google Workspace 이메일 ID와 다른 경우에 사용됩니다. 이 클레임 은 사용자의 Google Workspace 이메일 ID를 전달합니다. |
... |
키 액세스 제어 목록 서비스 (KACLS)는 다른 클레임 (위치, 커스텀 클레임 등)을 자유롭게 사용하여 경계를 평가할 수 있습니다. |
delegate의 KACLS 인증 토큰
인증 토큰에는 전달자 인증 토큰인 JSON 웹 토큰 (JWT) (JWT: RFC 7519)이 포함되어 있습니다.
사용자가 클라이언트에서 직접 인증할 수 없는 경우가 있습니다. 이러한 경우 사용자는 특정 리소스에 대한 액세스 권한을 해당 클라이언트에 위임할 수 있습니다. 이는 원래 인증 토큰의 범위를 제한하는 새로운 위임된 인증 토큰을 발급하여 이루어집니다.
위임된 인증 토큰은 하나의 추가 클레임이 있는 일반 인증 토큰과 유사합니다.
| 주장 | |
|---|---|
delegated_to |
인증을 위임할 항목의 식별자입니다. |
인증 토큰의 resource_name 클레임은 위임 컨텍스트에서 위임이 유효한 데이터 암호화 키(DEK)로 암호화된 객체를 식별하는 데 사용됩니다.
토큰은 Delegate 호출을 사용하여 키 액세스 제어 목록 서비스 (KACLS)에서 발급합니다. KACLS가 유효성을 검사할 수 있는 자체 서명 JWT일 수도 있고, KACLS가 신뢰할 수 있는 호출을 통해 다른 IdP를 사용하여 유효성을 검사할 수도 있습니다.
위임된 인증 토큰이 유효한 것으로 간주되려면 동일한 작업에 대해 위임된 승인 토큰을 제공해야 합니다. 위임된 승인 토큰은 일반 승인 토큰과 유사하지만 추가 클레임 delegated_to가 포함되어 있습니다. delegated_to 및 resource_name 클레임의 값은 위임된 인증 토큰의 값과 일치해야 합니다.
유출 시 잠재적인 재사용을 방지하려면 위임된 인증 토큰의 수명 값을 15분으로 설정하는 것이 좋습니다.
| JSON 표현 | |
|---|---|
{ "email": string, "iss": string, "aud": string, "exp": string, "iat": string, "google_email": string, "delegated_to": string, "resource_name": string ... } |
|
| 필드 | |
|---|---|
email |
사용자의 UTF-8 형식 이메일 주소입니다. |
iss |
토큰 발급기관으로, 신뢰할 수 있는 인증 발급기관 집합에 대해 유효성을 검사해야 합니다. |
aud |
IdP에서 식별한 대상입니다. 로컬 구성과 비교하여 확인해야 합니다. |
exp |
만료 시간으로, 확인해야 합니다. |
iat |
발급 시간으로, 확인해야 합니다. |
delegated_to |
인증을 위임할 항목의 식별자입니다. |
resource_name |
위임이 유효한 DEK로 암호화된 객체의 식별자입니다. |
... |
KACLS는 다른 클레임 (위치, 커스텀 클레임, 등)을 자유롭게 사용하여 경계를 평가할 수 있습니다. |
PrivilegedUnwrap의 KACLS 인증 토큰
사용자의 ID를 증명하기 위해 ID 공급업체 (IdP) 에서 발급한 전달자 토큰 (JWT: RFC 7519)입니다.
이는 PrivilegedUnwrap에서만 사용됩니다. PrivilegedUnwrap 중에 IDP 인증 토큰 대신 KACLS JWT가 사용되는 경우 수신자 KACLS는 먼저 발급기관의 JWKS를 가져온 후 클레임을 확인하기 전에 토큰 서명을 확인해야 합니다.
| JSON 표현 | |
|---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
|
| 필드 | |
|---|---|
aud |
IdP에서 식별한 대상입니다. Google Drive
클라이언트 측 암호화 (CSE) |
exp |
만료 시간입니다. |
iat |
발급 시간입니다. |
iss |
토큰 발급기관입니다. 신뢰할 수 있는 인증 발급기관 집합에 대해 유효성을 검사해야 합니다. 요청 KACLS의 |
kacls_url |
데이터가 복호화되는 현재 KACLS의 URL입니다. |
resource_name |
DEK로 암호화된 객체의 식별자입니다. 최대 크기: 128바이트 |
... |
키 액세스 제어 목록 서비스 (KACLS)는 다른 클레임 (위치, 커스텀 클레임 등)을 자유롭게 사용하여 경계를 평가할 수 있습니다. |