인증 토큰

사용자의 ID를 증명하기 위해 ID 파트너 (IdP)에서 발급한 Bearer 토큰 (JWT: RFC 7516)입니다.

JSON 표현
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
필드
aud

string

IdP에서 식별한 잠재고객입니다. 로컬 구성을 기준으로 확인해야 합니다.

email

string (UTF-8)

사용자의 이메일 주소

exp

string

만료 시간입니다.

iat

string

발급 시간

iss

string

토큰 발급기관입니다. 신뢰할 수 있는 인증 발급자 집합에 대해 유효성을 검사해야 합니다.

google_email

string

이 JWT의 이메일 클레임이 사용자의 Google Workspace 이메일 ID와 다른 경우에 사용되는 선택적 클레임입니다. 이 클레임은 사용자의 Google Workspace 이메일 ID를 전달합니다.

...

키 액세스 제어 목록 서비스 (KACLS)는 다른 모든 클레임 (위치, 맞춤 클레임 등)을 사용하여 경계를 평가할 수 있습니다.

PrivilegedUnwrap의 KACLS 인증 토큰

사용자의 ID를 증명하기 위해 ID 파트너 (IdP)에서 발급한 Bearer 토큰 (JWT: RFC 7516)입니다.

이는 PrivilegedUnwrap에서만 사용됩니다. PrivilegedUnwrap 중에 IDP 인증 토큰 대신 KACLS JWT가 사용되는 경우 수신자 KACLS는 먼저 발급자의 JWKS를 가져온 다음 토큰 서명을 확인한 후에 클레임을 확인해야 합니다.

JSON 표현
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
필드
aud

string

IdP에서 식별한 잠재고객입니다. Drive 클라이언트 측 암호화 (CSE) PrivilegedUnwrap 작업의 경우 kacls-migration여야 합니다.

exp

string

만료 시간입니다.

iat

string

발급 시간

iss

string

토큰 발급기관입니다. 신뢰할 수 있는 인증 발급자 집합에 대해 유효성을 검사해야 합니다. 요청하는 KACLS의 KACLS_URL와 일치해야 합니다. 발급자의 공개 키 세트는 /certs에서 찾을 수 있습니다.

kacls_url

string

데이터가 복호화되는 현재 KACLS의 URL입니다.

resource_name

string

DEK로 암호화된 객체의 식별자입니다. 최대 크기: 128바이트

...

키 액세스 제어 목록 서비스 (KACLS)는 다른 모든 클레임 (위치, 맞춤 클레임 등)을 사용하여 경계를 평가할 수 있습니다.