אסימוני אימות

אסימון למוכ"ז (JWT: RFC 7516) שהונפק על ידי שותף הזהויות (IdP) כדי לאמת את זהות המשתמש.

ייצוג ב-JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
שדות
aud

string

הקהל, כפי שזוהה על ידי ספק הזהויות. צריך לבדוק את ההגדרות המקומיות.
email

string (UTF-8)

כתובת האימייל של המשתמש.
exp

string

מועד התפוגה.
iat

string

זמן ההנפקה.
iss

string

הישות שהנפיקה את הטוקן. צריך לאמת את המזהה מול קבוצת המנפיקים המהימנים של אימות.
google_email

string

הצהרה אופציונלית, לשימוש במקרים שבהם ההצהרה על כתובת האימייל ב-JWT שונה ממזהה האימייל של המשתמש ב-Google Workspace. התביעה הזו כוללת את זהות האימייל של המשתמש ב-Google Workspace.
...

השירות Key Access Control List Service (KACLS) מאפשר להשתמש בחינם בכל טענה אחרת (מיקום, טענה מותאמת אישית וכו') כדי להעריך את ההיקף.

טוקן אימות של KACLS עבור delegate

אסימון האימות מכיל אסימון אינטרנט מסוג JSON‏ (JWT) (JWT: RFC 7516) שהוא אסימון אימות מסוג bearer.

לפעמים משתמש לא יכול לבצע אימות ישירות בלקוח. במקרים כאלה, המשתמש יכול להעניק ללקוח הרשאה לגשת למשאב ספציפי. הפעולה הזו מתבצעת באמצעות הנפקת טוקן אימות חדש עם הרשאת גישה מוגבלת, שמגביל את ההיקף של טוקן האימות המקורי.

טוקן האימות שהוקצה דומה לטוקן האימות הרגיל, אבל יש בו טענה נוספת:

טענה : הצהרה [לפי ההקשר]
delegated_to

string

מזהה של הישות שאליה מועברת סמכות האימות.

הצהרת resource_name באסימון האימות משמשת, בהקשר של הענקת הרשאה, לזיהוי האובייקט שמוצפן על ידי המפתח להצפנת נתונים (DEK) שעבורו ההרשאה תקפה.

האסימון מונפק על ידי שירות רשימת המפתחות של בקרת הגישה (KACLS) באמצעות קריאת הפונקציה Delegate. יכול להיות שאלה אסימוני JWT בחתימה עצמית ש-KACLS יכול לאמת, או ש-KACLS יכול להשתמש בכל ספק זהויות אחר כדי לעשות זאת, באמצעות קריאה מהימנה.

כדי שאסימון האימות עם הרשאת גישה יחשב כתקף, צריך לספק אסימון הרשאה עם הרשאת גישה לאותה פעולה. אסימון ההרשאה שהוקצתה דומה לאסימון הרשאה רגיל, אבל הוא מכיל את הטענה הנוספת delegated_to. הערכים בהצהרות delegated_to ו-resource_name חייבים להיות זהים לערכים באסימון האימות שהוקצה.

מומלץ להגדיר ערך של 15 דקות לזמן החיים של אסימוני האימות שהוקצו, כדי למנוע שימוש חוזר פוטנציאלי במקרה של דליפה.

ייצוג ב-JSON 
{
  "email": string,
  "iss": string,
  "aud": string,
  "exp": string,
  "iat": string,
  "google_email": string,
  "delegated_to": string,
  "resource_name": string
  ...
}
שדות
email

string (UTF-8)

כתובת האימייל של המשתמש בפורמט UTF-8.
iss

string

צריך לאמת את מנפיק האסימון מול קבוצת מנפיקי האימות המהימנים.
aud

string

הקהל, כפי שזוהה על ידי ספק הזהויות. צריך לבדוק את ההגדרות המקומיות.
exp

string

צריך לסמן את תיבת הסימון 'שעת התפוגה'.
iat

string

צריך לבדוק את שעת ההנפקה.
delegated_to

string

מזהה של הישות שאליה מועברת סמכות האימות.
resource_name

string

מזהה של האובייקט שמוצפן באמצעות מפתח ה-DEK, שההרשאה תקפה לגביו.
...

ל-KACLS יש אפשרות להשתמש בחינם בכל טענה אחרת (מיקום, טענה מותאמת אישית וכו') כדי להעריך את ההיקף.

טוקן אימות של KACLS עבור PrivilegedUnwrap

אסימון למוכ"ז (JWT: RFC 7516) שהונפק על ידי שותף הזהויות (IdP) כדי לאמת את זהות המשתמש.

ההגדרה הזו רלוונטית רק ל-PrivilegedUnwrap. במהלך PrivilegedUnwrap, אם נעשה שימוש ב-JWT של KACLS במקום באסימון אימות של ספק זהויות, KACLS של הנמען חייב קודם לאחזר את JWKS של המנפיק, ואז לאמת את חתימת האסימון, לפני בדיקת הטענות.

ייצוג ב-JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
שדות
aud

string

הקהל, כפי שזוהה על ידי ספק הזהויות. לפעולות של הצפנה מצד הלקוח (CSE) ב-Drive‏ PrivilegedUnwrap, הערך צריך להיות kacls-migration.
exp

string

מועד התפוגה.
iat

string

זמן ההנפקה.
iss

string

הישות שהנפיקה את הטוקן. צריך לאמת את המזהה מול קבוצת המנפיקים המהימנים של אימות. חייב להיות זהה לערך KACLS_URL של ה-KACLS ששולח את הבקשה. אפשר למצוא את המפתח הציבורי של המנפיק בכתובת /certs.
kacls_url

string

כתובת ה-URL של KACLS הנוכחי, שבו הנתונים מפוענחים.
resource_name

string

מזהה של האובייקט שמוצפן באמצעות מפתח הצפנת הנתונים. הגודל המקסימלי: 128 בייטים.
...

השירות Key Access Control List Service (KACLS) מאפשר להשתמש בחינם בכל טענה אחרת (מיקום, טענה מותאמת אישית וכו') כדי להעריך את ההיקף.