Kimlik doğrulama jetonları

Kimlik sağlayıcı (IdP) tarafından kullanıcının kimliğini onaylamak için verilen taşıyıcı jetonu (JWT: RFC 7519).

JSON gösterimi
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... }

Alanlar
`aud`	`string` IdP tarafından tanımlanan kitle. Yerel yapılandırmaya göre kontrol edilmelidir.
`email`	`string (UTF-8)` Kullanıcının e-posta adresi.
`exp`	`string` Geçerlilik sonu.
`iat`	`string` Kartın verilme zamanı.
`iss`	`string` Jetonu veren kuruluş. Kimlik doğrulama verenlerin güvenilir kümesine göre doğrulanmalıdır.
`google_email`	`string` Bu JWT'deki e-posta talebi, kullanıcının Google Workspace e-posta kimliğinden farklı olduğunda kullanılacak isteğe bağlı bir talep. Bu talep, kullanıcının Google Workspace e-posta kimliğini taşır.
`...`	Anahtar Erişim Kontrol Listesi Hizmetiniz (KACLS), sınırı değerlendirmek için diğer talepleri (konum, özel talep vb.) ücretsiz olarak kullanabilir.

`delegate` için KACLS kimlik doğrulama jetonu

Kimlik doğrulama jetonu, taşıyıcı kimlik doğrulama jetonu olan bir JSON Web Jetonu (JWT) (JWT: RFC 7519) içerir.

Bazen kullanıcılar doğrudan bir istemcide kimlik doğrulaması yapamaz. Bu gibi durumlarda kullanıcı, belirli bir kaynağa erişimini bu istemciye yetkilendirebilir. Bu, orijinal kimlik doğrulama jetonunun kapsamını sınırlayan yeni bir temsilci kimlik doğrulama jetonu verilerek sağlanır.

Yetki verilmiş kimlik doğrulama jetonu, normal kimlik doğrulama jetonuna benzer ancak bir ek talep içerir:

iddia

iddia
`delegated_to`	`string` Kimlik doğrulama yetkisinin devredileceği tüzel kişinin tanımlayıcısı.

delegated_to

string

Kimlik doğrulama yetkisinin devredileceği tüzel kişinin tanımlayıcısı.

Kimlik doğrulama jetonundaki resource_name talebi, yetki verme bağlamında, yetki vermenin geçerli olduğu veri şifreleme anahtarı (DEK) ile şifrelenen nesneyi tanımlamak için kullanılır.

Jeton, Delegate çağrısı kullanılarak Anahtar Erişim Kontrol Listesi Hizmeti (KACLS) tarafından verilir. KACLS'nin doğrulayabildiği kendinden imzalı JWT'ler olabilir veya KACLS, güvenilir bir çağrı aracılığıyla bunu yapmak için başka bir IdP kullanabilir.

Temsilci kimlik doğrulama jetonunun geçerli sayılması için aynı işlemle ilgili bir temsilci yetkilendirme jetonu sağlanmalıdır. Yetki verilmiş yetkilendirme jetonu, normal yetkilendirme jetonuna benzer ancak ek delegated_to talebini içerir. delegated_to ve resource_name taleplerinin değerleri, yetkilendirilmiş kimlik doğrulama jetonundaki değerlerle eşleşmelidir.

Sızıntı durumunda olası yeniden kullanımı önlemek için, temsilci kimlik doğrulama jetonlarının kullanım ömrünü 15 dakika olarak ayarlamanızı öneririz.

JSON gösterimi
{ "email": string, "iss": string, "aud": string, "exp": string, "iat": string, "google_email": string, "delegated_to": string, "resource_name": string ... }

Alanlar
`email`	`string (UTF-8)` Kullanıcının UTF-8 biçimli e-posta adresi.
`iss`	`string` Jetonu veren taraf, güvenilir kimlik doğrulama verenler grubuyla doğrulanmalıdır.
`aud`	`string` IdP tarafından tanımlanan kitle. Yerel yapılandırmaya göre kontrol edilmelidir.
`exp`	`string` Geçerlilik süresi kontrol edilmelidir.
`iat`	`string` Düzenlenme zamanı kontrol edilmelidir.
`delegated_to`	`string` Kimlik doğrulama yetkisinin devredileceği tüzel kişinin tanımlayıcısı.
`resource_name`	`string` DEK ile şifrelenmiş ve temsil yetkisinin geçerli olduğu nesnenin tanımlayıcısı.
`...`	KACLS, sınırı değerlendirmek için diğer talepleri (konum, özel talep vb.) ücretsiz olarak kullanabilir.

`PrivilegedUnwrap` için KACLS kimlik doğrulama jetonu

Kimlik sağlayıcı (IdP) tarafından kullanıcının kimliğini onaylamak için verilen taşıyıcı jetonu (JWT: RFC 7519).

Bu yalnızca PrivilegedUnwrap üzerinde kullanılır. PrivilegedUnwrap sırasında, IdP kimlik doğrulama jetonu yerine KACLS JWT'si kullanılıyorsa alıcı KACLS'nin önce veren tarafın JWKS'sini getirmesi, ardından talepleri kontrol etmeden önce jeton imzasını doğrulaması gerekir.

JSON gösterimi
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... }

Alanlar
`aud`	`string` IdP tarafından tanımlanan kitle. Google Drive istemci tarafı şifreleme (İTŞ) `PrivilegedUnwrap` işlemleri için bu değer `kacls-migration` olmalıdır.
`exp`	`string` Geçerlilik sonu.
`iat`	`string` Kartın verilme zamanı.
`iss`	`string` Jetonu veren kuruluş. Kimlik doğrulama verenlerin güvenilir kümesine göre doğrulanmalıdır. İstekte bulunan KACLS'nin `KACLS_URL` ile eşleşmelidir. Düzenleyenin ortak anahtar kümesini `<iss>/certs` adresinde bulabilirsiniz.
`kacls_url`	`string` Verilerin şifresinin çözüldüğü mevcut KACLS'nin URL'si.
`resource_name`	`string` DEK ile şifrelenmiş nesnenin tanımlayıcısı. Maksimum boyut: 128 bayt.
`...`	Anahtar Erişim Kontrol Listesi Hizmetiniz (KACLS), sınırı değerlendirmek için diğer talepleri (konum, özel talep vb.) ücretsiz olarak kullanabilir.

Kimlik doğrulama jetonları Koleksiyonlar ile düzeninizi koruyun İçeriği tercihlerinize göre kaydedin ve kategorilere ayırın.

delegate için KACLS kimlik doğrulama jetonu

PrivilegedUnwrap için KACLS kimlik doğrulama jetonu

Kimlik doğrulama jetonları

`delegate` için KACLS kimlik doğrulama jetonu

`PrivilegedUnwrap` için KACLS kimlik doğrulama jetonu