사용자의 ID를 증명하기 위해 ID 파트너 (IdP)에서 발급한 Bearer 토큰 (JWT: RFC 7516)입니다.
JSON 표현 | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
필드 | |
---|---|
aud |
IdP에서 식별한 잠재고객입니다. 로컬 구성을 기준으로 확인해야 합니다. |
email |
사용자의 이메일 주소 |
exp |
만료 시간입니다. |
iat |
발급 시간 |
iss |
토큰 발급기관입니다. 신뢰할 수 있는 인증 발급자 집합에 대해 유효성을 검사해야 합니다. |
google_email |
이 JWT의 이메일 클레임이 사용자의 Google Workspace 이메일 ID와 다른 경우에 사용되는 선택적 클레임입니다. 이 클레임은 사용자의 Google Workspace 이메일 ID를 전달합니다. |
... |
키 액세스 제어 목록 서비스 (KACLS)는 다른 모든 클레임 (위치, 맞춤 클레임 등)을 사용하여 경계를 평가할 수 있습니다. |
PrivilegedUnwrap
의 KACLS 인증 토큰
사용자의 ID를 증명하기 위해 ID 파트너 (IdP)에서 발급한 Bearer 토큰 (JWT: RFC 7516)입니다.
이는 PrivilegedUnwrap
에서만 사용됩니다. PrivilegedUnwrap
중에 IDP 인증 토큰 대신 KACLS JWT가 사용되는 경우 수신자 KACLS는 먼저 발급자의 JWKS를 가져온 다음 토큰 서명을 확인한 후에 클레임을 확인해야 합니다.
JSON 표현 | |
---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
필드 | |
---|---|
aud |
IdP에서 식별한 잠재고객입니다. Drive 클라이언트 측 암호화 (CSE) |
exp |
만료 시간입니다. |
iat |
발급 시간 |
iss |
토큰 발급기관입니다. 신뢰할 수 있는 인증 발급자 집합에 대해 유효성을 검사해야 합니다. 요청하는 KACLS의 |
kacls_url |
데이터가 복호화되는 현재 KACLS의 URL입니다. |
resource_name |
DEK로 암호화된 객체의 식별자입니다. 최대 크기: 128바이트 |
... |
키 액세스 제어 목록 서비스 (KACLS)는 다른 모든 클레임 (위치, 맞춤 클레임 등)을 사용하여 경계를 평가할 수 있습니다. |