本頁面由 Cloud Translation API 翻譯而成。

驗證權杖

身分識別合作夥伴 (IdP) 核發的持有者權杖 (JWT：RFC 7516)，用於驗證使用者身分。

JSON 表示法
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... }

欄位
`aud`	`string` IdP 識別的目標對象。應根據本機設定進行檢查。
`email`	`string (UTF-8)` 使用者的電子郵件地址。
`exp`	`string` 到期時間。
`iat`	`string` 發卡時間。
`iss`	`string` 權杖核發者。應根據一組可信的驗證簽發者進行驗證。
`google_email`	`string` 這個 JWT 中的電子郵件憑證附加資訊與使用者的 Google Workspace 電子郵件 ID 不同時，可使用這個選用憑證附加資訊。這項聲明會攜帶使用者的 Google Workspace 電子郵件身分。
`...`	金鑰存取控制清單服務 (KACLS) 可免費使用任何其他聲明 (位置、自訂聲明等) 評估周邊範圍。

「`delegate`」的 KACLS 驗證權杖

驗證權杖包含 JSON Web Token (JWT) (JWT：RFC 7516)，這是持有者驗證權杖。

有時使用者無法直接在用戶端上驗證。在這些情況下，使用者可以將特定資源的存取權委派給該用戶端。方法是核發新的委派驗證權杖，限制原始驗證權杖的範圍。

委派的驗證權杖與一般驗證權杖類似，但多了一項憑證附加資訊：

聲明

聲明
`delegated_to`	`string` 要將驗證委派給的實體 ID。

delegated_to

string

要將驗證委派給的實體 ID。

在委派情境中，驗證權杖中的 resource_name 聲明可用於識別由資料加密金鑰 (DEK) 加密的物件，而委派作業對該物件有效。

權杖是由金鑰存取控制清單服務 (KACLS) 使用 Delegate 呼叫發出。這可能是 KACLS 能夠驗證的自行簽署 JWT，也可能是 KACLS 透過信任的呼叫，使用任何其他 IdP 進行驗證。

如要讓委派的驗證權杖視為有效，必須為同一項作業提供委派的授權權杖。委派授權權杖與一般授權權杖類似，但包含額外聲明 delegated_to。delegated_to 和 resource_name 聲明的值必須與委派驗證權杖中的值相符。

建議您將委派的驗證權杖生命週期值設為 15 分鐘，以免權杖外洩時遭到重複使用。

JSON 表示法
{ "email": string, "iss": string, "aud": string, "exp": string, "iat": string, "google_email": string, "delegated_to": string, "resource_name": string ... }

欄位
`email`	`string (UTF-8)` 使用者的 UTF-8 格式電子郵件地址。
`iss`	`string` 權杖核發者應根據一組可信任的驗證核發者進行驗證。
`aud`	`string` IdP 識別的目標對象。應根據本機設定進行檢查。
`exp`	`string` 請檢查到期時間。
`iat`	`string` 發行時間，應勾選。
`delegated_to`	`string` 要將驗證委派給的實體 ID。
`resource_name`	`string` DEK 加密物件的 ID，委派作業對此物件有效。
`...`	KACLS 可自由使用任何其他聲明 (位置、自訂聲明等) 評估周邊範圍。

身分識別合作夥伴 (IdP) 核發的持有者權杖 (JWT：RFC 7516)，用於驗證使用者身分。

這項設定僅適用於 PrivilegedUnwrap。在 PrivilegedUnwrap 期間，如果使用 KACLS JWT 取代 IDP 驗證權杖，接收端 KACLS 必須先擷取簽發者的 JWKS，然後驗證權杖簽章，再檢查聲明。

JSON 表示法
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... }

欄位
`aud`	`string` IdP 識別的目標對象。如果是雲端硬碟用戶端加密 (CSE) `PrivilegedUnwrap` 作業，則應為 `kacls-migration`。
`exp`	`string` 到期時間。
`iat`	`string` 發卡時間。
`iss`	`string` 權杖核發者。應根據一組可信的驗證簽發者進行驗證。必須與要求 KACLS 的 `KACLS_URL` 相符。發行者的公開金鑰集位於 `/certs`。
`kacls_url`	`string` 目前 KACLS 的網址，資料將在此解密。
`resource_name`	`string` 由 DEK 加密的物件 ID。大小上限：128 個位元組。
`...`	金鑰存取控制清單服務 (KACLS) 可免費使用任何其他聲明 (位置、自訂聲明等) 評估周邊範圍。