توکن های احراز هویت

توکن حامل ( JWT: RFC 7519 ) که توسط ارائه‌دهنده هویت (IdP) برای تأیید هویت کاربر صادر می‌شود.

نمایش JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
فیلدها
aud

string

مخاطب، همانطور که توسط IdP شناسایی شده است، باید با پیکربندی محلی بررسی شود.

email

string (UTF-8)

آدرس ایمیل کاربر.

exp

string

زمان انقضا.

iat

string

زمان صدور.

iss

string

صادرکننده توکن. باید در برابر مجموعه قابل اعتماد صادرکنندگان احراز هویت، اعتبارسنجی شود.

google_email

string

یک claim اختیاری، که زمانی استفاده می‌شود که email claim در این JWT با شناسه ایمیل Google Workspace کاربر متفاوت باشد. این claim حاوی شناسه ایمیل Google Workspace کاربر است.

...

سرویس فهرست کنترل دسترسی کلیدی (KACLS) شما می‌تواند از هرگونه ادعای دیگری (مکان، ادعای سفارشی و غیره) برای ارزیابی محیط استفاده کند.

توکن احراز هویت KACLS برای delegate

توکن احراز هویت شامل یک توکن وب JSON (JWT) ( JWT: RFC 7519 ) است که یک توکن احراز هویت حامل است.

گاهی اوقات یک کاربر قادر به احراز هویت مستقیم در یک کلاینت نیست. در این موارد، کاربر می‌تواند دسترسی خود به یک منبع خاص را به آن کلاینت واگذار کند. این کار از طریق صدور یک توکن احراز هویت جدید واگذار شده که دامنه توکن احراز هویت اصلی را محدود می‌کند، انجام می‌شود.

توکن احراز هویت واگذار شده مشابه توکن احراز هویت معمولی است با یک درخواست اضافی:

ادعا
delegated_to

string

شناسه‌ای برای نهادی که احراز هویت به آن واگذار می‌شود.

عبارت resource_name در توکن احراز هویت، در یک زمینه واگذاری، برای شناسایی شیء رمزگذاری شده توسط کلید رمزگذاری داده (DEK) که واگذاری برای آن معتبر است، استفاده می‌شود.

این توکن توسط سرویس فهرست کنترل دسترسی کلید (KACLS) با استفاده از فراخوانی Delegate صادر می‌شود. این توکن می‌تواند JWTهای خودامضا باشند که KACLS قادر به اعتبارسنجی آنها است، یا KACLS ممکن است از هر IdP دیگری برای انجام این کار، از طریق یک فراخوانی قابل اعتماد، استفاده کند.

In order for the delegated authentication token to be considered valid, a delegated authorization token must be provided for the same operation. The delegated authorization token is similar to the ordinary authorization token, but contains the additional claim delegated_to . The values of the delegated_to and resource_name claims must match the values in the delegated authentication token.

توصیه می‌کنیم برای توکن‌های احراز هویت واگذار شده، طول عمر ۱۵ دقیقه‌ای تعیین کنید تا در صورت نشت اطلاعات، از استفاده مجدد احتمالی جلوگیری شود.

نمایش JSON 
{
  "email": string,
  "iss": string,
  "aud": string,
  "exp": string,
  "iat": string,
  "google_email": string,
  "delegated_to": string,
  "resource_name": string
  ...
}
فیلدها
email

string (UTF-8)

آدرس ایمیل کاربر با فرمت UTF-8.

iss

string

صادرکننده توکن باید در برابر مجموعه قابل اعتماد صادرکنندگان احراز هویت، اعتبارسنجی شود.

aud

string

مخاطب، همانطور که توسط IdP شناسایی شده است، باید با پیکربندی محلی بررسی شود.

exp

string

زمان انقضا، باید بررسی شود.

iat

string

زمان صدور، باید بررسی شود.

delegated_to

string

شناسه‌ای برای نهادی که احراز هویت به آن واگذار می‌شود.

resource_name

string

شناسه‌ای برای شیء رمزگذاری شده توسط DEK که واگذاری برای آن معتبر است.

...

KACLS آزاد است که از هرگونه ادعای دیگری (مکان، ادعای سفارشی و غیره) برای ارزیابی محیط استفاده کند.

توکن احراز هویت KACLS برای PrivilegedUnwrap

توکن حامل ( JWT: RFC 7519 ) که توسط ارائه‌دهنده هویت (IdP) برای تأیید هویت کاربر صادر می‌شود.

این فقط در PrivilegedUnwrap استفاده می‌شود. در طول PrivilegedUnwrap ، اگر از JWT KACLS به جای توکن احراز هویت IDP استفاده شود، گیرنده KACLS ابتدا باید JWKS صادرکننده را دریافت کند، سپس امضای توکن را قبل از بررسی ادعاها تأیید کند.

نمایش JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
فیلدها
aud

string

مخاطب، همانطور که توسط IdP مشخص شده است. برای عملیات رمزگذاری سمت کلاینت (CSE) در گوگل درایو PrivilegedUnwrap ، این باید kacls-migration باشد.

exp

string

زمان انقضا.

iat

string

زمان صدور.

iss

string

صادرکننده‌ی توکن. باید در برابر مجموعه‌ی قابل اعتماد صادرکنندگان احراز هویت اعتبارسنجی شود. باید با KACLS_URL مربوط به KACLS درخواست‌کننده مطابقت داشته باشد. مجموعه‌ی کلید عمومی صادرکننده را می‌توانید در <iss>/certs پیدا کنید.

kacls_url

string

آدرس اینترنتی KACLS فعلی که داده‌ها روی آن رمزگشایی می‌شوند.

resource_name

string

شناسه‌ای برای شیء رمزگذاری شده توسط DEK. حداکثر اندازه: ۱۲۸ بایت.

...

سرویس فهرست کنترل دسترسی کلیدی (KACLS) شما می‌تواند از هرگونه ادعای دیگری (مکان، ادعای سفارشی و غیره) برای ارزیابی محیط استفاده کند.