Token di connessione (JWT: RFC 7516) emessi dal partner di identità (IdP) per attestare l'identità di un utente.
Rappresentazione JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
Campi | |
---|---|
aud |
Il segmento di pubblico, come identificato dall'IdP. Deve essere confrontato con la configurazione locale. |
email |
L'indirizzo email dell'utente. |
exp |
Data di scadenza. |
iat |
Data/ora di emissione. |
iss |
L'emittente del token. Devono essere convalidati in base a un insieme attendibile di emittenti dell'autenticazione. |
google_email |
Rivendicazione facoltativa, da utilizzare quando la rivendicazione via email in questo JWT è diversa dall'ID email Google Workspace dell'utente. Questa dichiarazione contiene l'identità email Google Workspace dell'utente. |
... |
Il tuo Key Access Control List Service (KACLS) è libero di utilizzare qualsiasi altra attestazione (località, attestazione personalizzata e così via) per valutare il perimetro. |
Token di autenticazione KACLS per PrivilegedUnwrap
Token di connessione (JWT: RFC 7516) emessi dal partner di identità (IdP) per attestare l'identità di un utente.
Viene utilizzato solo su PrivilegedUnwrap
. Durante PrivilegedUnwrap
, se un KACLS
JWT viene utilizzato al posto di un token di autenticazione IdP, il KACLS del destinatario deve
recupera prima il JWKS dell'emittente, poi verifica la firma del token
controllare le rivendicazioni.
Rappresentazione JSON | |
---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
Campi | |
---|---|
aud |
Il segmento di pubblico, come identificato dall'IdP. Per le operazioni |
exp |
Data di scadenza. |
iat |
Data/ora di emissione. |
iss |
L'emittente del token. Devono essere convalidati in base a un insieme attendibile di emittenti dell'autenticazione. Deve corrispondere a |
kacls_url |
URL dei KACL attuali su cui vengono decriptati i dati. |
resource_name |
Identificatore dell'oggetto criptato dalla DEK. Dimensione massima: 128 byte. |
... |
Il tuo Key Access Control List Service (KACLS) è libero di utilizzare qualsiasi altra attestazione (località, attestazione personalizzata e così via) per valutare il perimetro. |