Jeton porteur (JWT: RFC 7516) émis par le partenaire d'identité (IdP) pour attester de l'identité d'un utilisateur.
Représentation JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
Champs | |
---|---|
aud |
L'audience, telle qu'identifiée par le fournisseur d'identité. Doit être comparé à la configuration locale. |
email |
Adresse e-mail de l'utilisateur. |
exp |
Date d'expiration. |
iat |
Heure d'émission. |
iss |
Émetteur de jeton. Doit être validé par rapport à l'ensemble approuvé des émetteurs d'authentification. |
google_email |
Revendication facultative à utiliser lorsque la revendication d'adresse e-mail de ce jeton JWT est différente de l'ID d'adresse e-mail Google Workspace de l'utilisateur. Cette revendication contient l'identité e-mail Google Workspace de l'utilisateur. |
... |
Votre service de liste de contrôle d'accès aux clés (KACLS) est libre d'utiliser d'autres revendications (position, revendication personnalisée, etc.) pour évaluer le périmètre. |
Jeton d'authentification KACLS pour PrivilegedUnwrap
Jeton porteur (JWT: RFC 7516) émis par le partenaire d'identité (IdP) pour attester de l'identité d'un utilisateur.
Cette option n'est utilisée que sur PrivilegedUnwrap
. Lors de PrivilegedUnwrap
, si un jeton JWT KACLS est utilisé à la place d'un jeton d'authentification IDP, le KACLS destinataire doit d'abord récupérer le JWKS de l'émetteur, puis vérifier la signature du jeton, avant de vérifier les revendications.
Représentation JSON | |
---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
Champs | |
---|---|
aud |
L'audience, telle qu'identifiée par le fournisseur d'identité. Pour les opérations |
exp |
Date d'expiration. |
iat |
Heure d'émission. |
iss |
Émetteur de jeton. Doit être validé par rapport à l'ensemble approuvé des émetteurs d'authentification. Doit correspondre à l' |
kacls_url |
URL du KACLS actuel sur lequel les données sont déchiffrées. |
resource_name |
Identifiant de l'objet chiffré par la clé DEK. Taille maximale: 128 octets. |
... |
Votre service de liste de contrôle d'accès aux clés (KACLS) est libre d'utiliser d'autres revendications (position, revendication personnalisée, etc.) pour évaluer le périmètre. |