Jetons d'authentification

Jeton porteur (JWT: RFC 7516) émis par le partenaire d'identité (IdP) pour attester de l'identité d'un utilisateur.

Représentation JSON
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
Champs
aud

string

L'audience, telle qu'identifiée par le fournisseur d'identité. Doit être comparé à la configuration locale.

email

string (UTF-8)

Adresse e-mail de l'utilisateur.

exp

string

Date d'expiration.

iat

string

Heure d'émission.

iss

string

Émetteur de jeton. Doit être validé par rapport à l'ensemble approuvé des émetteurs d'authentification.

google_email

string

Revendication facultative à utiliser lorsque la revendication d'adresse e-mail de ce jeton JWT est différente de l'ID d'adresse e-mail Google Workspace de l'utilisateur. Cette revendication contient l'identité e-mail Google Workspace de l'utilisateur.

...

Votre service de liste de contrôle d'accès aux clés (KACLS) est libre d'utiliser d'autres revendications (position, revendication personnalisée, etc.) pour évaluer le périmètre.

Jeton d'authentification KACLS pour PrivilegedUnwrap

Jeton porteur (JWT: RFC 7516) émis par le partenaire d'identité (IdP) pour attester de l'identité d'un utilisateur.

Cette option n'est utilisée que sur PrivilegedUnwrap. Lors de PrivilegedUnwrap, si un jeton JWT KACLS est utilisé à la place d'un jeton d'authentification IDP, le KACLS destinataire doit d'abord récupérer le JWKS de l'émetteur, puis vérifier la signature du jeton, avant de vérifier les revendications.

Représentation JSON
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
Champs
aud

string

L'audience, telle qu'identifiée par le fournisseur d'identité. Pour les opérations PrivilegedUnwrap de chiffrement côté client (CSE) de Drive, cette valeur doit être kacls-migration.

exp

string

Date d'expiration.

iat

string

Heure d'émission.

iss

string

Émetteur de jeton. Doit être validé par rapport à l'ensemble approuvé des émetteurs d'authentification. Doit correspondre à l'KACLS_URL de l'objet KACLS à l'origine de la requête. L'ensemble de clés publiques de l'émetteur se trouve sur /certs.

kacls_url

string

URL du KACLS actuel sur lequel les données sont déchiffrées.

resource_name

string

Identifiant de l'objet chiffré par la clé DEK. Taille maximale: 128 octets.

...

Votre service de liste de contrôle d'accès aux clés (KACLS) est libre d'utiliser d'autres revendications (position, revendication personnalisée, etc.) pour évaluer le périmètre.