Токены аутентификации

Токен носителя ( JWT: RFC 7516 ), выданный партнером по идентификации (IdP) для подтверждения личности пользователя.

JSON-представление
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
Поля
aud

string

Аудитория, определенная IdP. Необходимо проверить соответствие локальной конфигурации.

email

string (UTF-8)

Адрес электронной почты пользователя.

exp

string

Срок годности.

iat

string

Время выдачи.

iss

string

Эмитент токена. Должен быть проверен с помощью доверенного набора издателей аутентификации.

google_email

string

Необязательное утверждение, которое будет использоваться, если утверждение электронной почты в этом JWT отличается от идентификатора электронной почты пользователя в Google Workspace. В этом заявлении указан адрес электронной почты пользователя Google Workspace.

...

Ваша служба списков управления доступом к ключам (KACLS) может свободно использовать любые другие утверждения (местоположение, пользовательское утверждение и т. д.) для оценки периметра.

Токен аутентификации KACLS для PrivilegedUnwrap

Токен носителя ( JWT: RFC 7516 ), выданный партнером по идентификации (IdP) для подтверждения личности пользователя.

Это используется только в PrivilegedUnwrap . Если во время PrivilegedUnwrap вместо токена аутентификации IDP используется KACLS JWT, получатель KACLS должен сначала получить JWKS эмитента, затем проверить подпись токена, прежде чем проверять утверждения.

JSON-представление
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
Поля
aud

string

Аудитория, определенная IdP. Для операций PrivilegedUnwrap с шифрованием на стороне клиента Диска (CSE) это должно быть kacls-migration .

exp

string

Срок годности.

iat

string

Время выдачи.

iss

string

Эмитент токена. Должен быть проверен с помощью доверенного набора издателей аутентификации. Должен соответствовать KACLS_URL запрашивающего KACLS. Набор открытых ключей эмитента можно найти по адресу /certs .

kacls_url

string

URL текущего KACLS, на котором расшифровываются данные.

resource_name

string

Идентификатор объекта, зашифрованного с помощью DEK. Максимальный размер: 128 байт.

...

Ваша служба списков управления доступом к ключам (KACLS) может свободно использовать любые другие утверждения (местоположение, пользовательское утверждение и т. д.) для оценки периметра.

,

Токен носителя ( JWT: RFC 7516 ), выданный партнером по идентификации (IdP) для подтверждения личности пользователя.

JSON-представление
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
Поля
aud

string

Аудитория, определенная IdP. Необходимо проверить соответствие локальной конфигурации.

email

string (UTF-8)

Адрес электронной почты пользователя.

exp

string

Срок годности.

iat

string

Время выдачи.

iss

string

Эмитент токена. Должен быть проверен с помощью доверенного набора издателей аутентификации.

google_email

string

Необязательное утверждение, которое будет использоваться, если утверждение электронной почты в этом JWT отличается от идентификатора электронной почты пользователя в Google Workspace. В этом заявлении указан адрес электронной почты пользователя Google Workspace.

...

Ваша служба списков управления доступом к ключам (KACLS) может свободно использовать любые другие утверждения (местоположение, пользовательское утверждение и т. д.) для оценки периметра.

Токен аутентификации KACLS для PrivilegedUnwrap

Токен носителя ( JWT: RFC 7516 ), выданный партнером по идентификации (IdP) для подтверждения личности пользователя.

Это используется только в PrivilegedUnwrap . Если во время PrivilegedUnwrap вместо токена аутентификации IDP используется KACLS JWT, получатель KACLS должен сначала получить JWKS эмитента, затем проверить подпись токена, прежде чем проверять утверждения.

JSON-представление
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
Поля
aud

string

Аудитория, определенная IdP. Для операций PrivilegedUnwrap с шифрованием на стороне клиента Диска (CSE) это должно быть kacls-migration .

exp

string

Срок годности.

iat

string

Время выдачи.

iss

string

Эмитент токена. Должен быть проверен с помощью доверенного набора издателей аутентификации. Должен соответствовать KACLS_URL запрашивающего KACLS. Набор открытых ключей эмитента можно найти по адресу /certs .

kacls_url

string

URL текущего KACLS, на котором расшифровываются данные.

resource_name

string

Идентификатор объекта, зашифрованного с помощью DEK. Максимальный размер: 128 байт.

...

Ваша служба списков управления доступом к ключам (KACLS) может свободно использовать любые другие утверждения (местоположение, пользовательское утверждение и т. д.) для оценки периметра.