توکن های احراز هویت

توکن حامل ( JWT: RFC 7516 ) که توسط شریک هویت (IdP) برای تأیید هویت کاربر صادر شده است.

نمایندگی JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
فیلدها
aud

string

مخاطب، همانطور که توسط IdP شناسایی شده است. باید با پیکربندی محلی بررسی شود.

email

string (UTF-8)

آدرس ایمیل کاربر.

exp

string

زمان انقضا.

iat

string

زمان صدور.

iss

string

صادرکننده توکن باید در برابر مجموعه معتبر صادرکنندگان احراز هویت اعتبارسنجی شود.

google_email

string

یک ادعای اختیاری، برای استفاده زمانی که ادعای ایمیل در این JWT با شناسه ایمیل Google Workspace کاربر متفاوت است. این ادعا حاوی هویت ایمیل Google Workspace کاربر است.

...

سرویس فهرست کنترل دسترسی کلید شما (KACLS) برای استفاده از هرگونه ادعای دیگر (مکان، ادعای سفارشی و غیره) برای ارزیابی محیط آزاد است.

کد احراز هویت KACLS برای delegate

نشانه احراز هویت حاوی یک رمز وب JSON (JWT) ( JWT: RFC 7516 ) است که یک نشانه تأیید هویت حامل است.

گاهی اوقات یک کاربر قادر به احراز هویت مستقیم روی یک کلاینت نیست. در این موارد کاربر می تواند دسترسی خود را به یک منبع خاص به آن مشتری واگذار کند. این امر از طریق صدور یک توکن احراز هویت واگذار شده جدید که دامنه توکن احراز هویت اصلی را محدود می کند به دست می آید.

توکن احراز هویت واگذار شده مشابه نشانه احراز هویت معمولی با یک ادعای اضافی است:

ادعا
delegated_to

string

یک شناسه برای نهادی که باید احراز هویت را به آن واگذار کند.

ادعای resource_name در نشانه احراز هویت، در زمینه تفویض اختیار، برای شناسایی شیء رمزگذاری شده توسط کلید رمزگذاری داده (DEK) که تفویض اختیار برای آن معتبر است، استفاده می‌شود.

توکن توسط سرویس فهرست کنترل دسترسی کلید (KACLS) با استفاده از تماس Delegate صادر می شود. ممکن است JWTهای خودامضا باشند که KACLS قادر به تایید آنها باشد، یا KACLS ممکن است از هر IdP دیگری برای انجام این کار از طریق یک تماس قابل اعتماد استفاده کند.

برای اینکه رمز احراز هویت تفویض شده معتبر در نظر گرفته شود، باید یک نشانه مجوز تفویض شده برای همان عملیات ارائه شود. نشانه مجوز تفویض شده مشابه نشانه مجوز عادی است، اما حاوی ادعای اضافی delegated_to است. مقادیر ادعاهای delegated_to و resource_name باید با مقادیر موجود در کد احراز هویت واگذار شده مطابقت داشته باشد.

توصیه می کنیم برای جلوگیری از استفاده مجدد احتمالی در صورت نشتی، مقدار طول عمر 15 دقیقه برای توکن های احراز هویت واگذار شده تعیین کنید.

نمایندگی JSON 
{
  "email": string,
  "iss": string,
  "aud": string,
  "exp": string,
  "iat": string,
  "google_email": string,
  "delegated_to": string,
  "resource_name": string
  ...
}
فیلدها
email

string (UTF-8)

آدرس ایمیل کاربر با فرمت UTF-8.

iss

string

صادرکننده توکن باید در مقابل مجموعه معتبر صادرکنندگان احراز هویت اعتبارسنجی شود.

aud

string

مخاطب، همانطور که توسط IdP شناسایی شده است. باید با پیکربندی محلی بررسی شود.

exp

string

زمان انقضا، باید بررسی شود.

iat

string

زمان صدور، باید بررسی شود.

delegated_to

string

یک شناسه برای نهادی که باید احراز هویت را به آن واگذار کند.

resource_name

string

یک شناسه برای شی رمزگذاری شده توسط DEK، که تفویض برای آن معتبر است.

...

KACLS در استفاده از هرگونه ادعای دیگر (مکان، ادعای سفارشی و غیره...) برای ارزیابی محیط آزاد است.

کد احراز هویت KACLS برای PrivilegedUnwrap

توکن حامل ( JWT: RFC 7516 ) که توسط شریک هویت (IdP) برای تأیید هویت کاربر صادر شده است.

این فقط در PrivilegedUnwrap استفاده می شود. در طول PrivilegedUnwrap ، اگر یک KACLS JWT به جای یک توکن تأیید هویت IDP استفاده شود، KACLS گیرنده باید ابتدا JWKS صادرکننده را واکشی کند، سپس امضای توکن را قبل از بررسی ادعاها تأیید کند.

نمایندگی JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
فیلدها
aud

string

مخاطب، همانطور که توسط IdP شناسایی شده است. برای عملیات رمزگذاری سمت سرویس گیرنده Drive (CSE) PrivilegedUnwrap ، این باید kacls-migration باشد.

exp

string

زمان انقضا.

iat

string

زمان صدور.

iss

string

صادرکننده توکن باید در برابر مجموعه معتبر صادرکنندگان احراز هویت اعتبارسنجی شود. باید با KACLS_URL KACLS درخواست کننده مطابقت داشته باشد. مجموعه کلید عمومی صادرکننده را می‌توانید در اینجا پیدا کنید /certs

kacls_url

string

آدرس اینترنتی KACLS فعلی، که داده‌ها روی آن رمزگشایی می‌شوند.

resource_name

string

یک شناسه برای شی رمزگذاری شده توسط DEK. حداکثر حجم: 128 بایت

...

سرویس فهرست کنترل دسترسی کلید شما (KACLS) برای استفاده از هرگونه ادعای دیگر (مکان، ادعای سفارشی و غیره) برای ارزیابی محیط آزاد است.