الرموز المميزة للمصادقة

رمز مميّز لحامل البطاقة (JWT: RFC 7516) صادر عن شريك الهوية (IdP) لإثبات هوية المستخدم.

تمثيل JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
الحقول
aud

string

الجمهور، كما يحدّده موفّر الهوية يجب التحقّق من ذلك مقارنةً بالإعدادات على الجهاز.
email

string (UTF-8)

عنوان البريد الإلكتروني للمستخدم
exp

string

وقت انتهاء الصلاحية
iat

string

وقت الإصدار
iss

string

تمثّل هذه السمة جهة إصدار الرمز المميّز. يجب التحقّق من صحة هذا المعرّف استنادًا إلى مجموعة موثوق بها من جهات إصدار المصادقة.
google_email

string

مطالبة اختيارية، تُستخدَم عندما تكون مطالبة البريد الإلكتروني في رمز JWT هذا مختلفة عن معرّف البريد الإلكتروني للمستخدم في Google Workspace. يتضمّن هذا الادّعاء هوية البريد الإلكتروني للمستخدم على Google Workspace.
...

يمكن لخدمة قائمة التحكّم بالوصول إلى مفاتيح التشفير (KACLS) استخدام أي مطالبات أخرى (الموقع الجغرافي، والمطالبة المخصّصة، وما إلى ذلك) لتقييم المحيط بدون أي تكلفة.

رمز المصادقة KACLS الخاص بـ delegate

يحتوي رمز المصادقة المميّز على رمز JSON المميّز للويب (JWT) (JWT: RFC 7516) وهو رمز مميّز للمصادقة.

في بعض الأحيان، لا يمكن للمستخدم إجراء المصادقة على جهاز العميل مباشرةً. في هذه الحالات، يمكن للمستخدم تفويض العميل بالوصول إلى مورد معيّن. ويتم ذلك من خلال إصدار رمز مميز جديد للمصادقة المفوضة يحدّ من نطاق رمز المصادقة الأصلي.

يشبه رمز المصادقة المفوَّض رمز المصادقة العادي مع إضافة مطالبة واحدة:

ادعاء، مطالبة
delegated_to

string

معرّف للكيان الذي سيتم تفويض المصادقة إليه

يُستخدَم الادعاء resource_name في رمز المصادقة المميز، في سياق التفويض، لتحديد العنصر المشفّر بواسطة مفتاح تشفير البيانات (DEK) الذي يكون التفويض صالحًا له.

يتم إصدار الرمز المميز من خلال خدمة قائمة التحكّم بالوصول إلى مفاتيح التشفير (KACLS) باستخدام طلب Delegate. قد تكون هذه الرموز المميزة JWT ذاتية التوقيع التي يمكن لخدمة KACLS التحقّق من صحتها، أو قد تستخدم خدمة KACLS أي موفّر هوية آخر لإجراء ذلك من خلال مكالمة موثوقة.

لكي يتم اعتبار رمز المصادقة المفوض صالحًا، يجب تقديم رمز تفويض مفوض لنفس العملية. يشبه رمز التفويض المفوض رمز التفويض العادي، ولكنّه يتضمّن المطالبة الإضافية delegated_to. يجب أن تتطابق قيمتَا المطالبتَين delegated_to وresource_name مع القيم الواردة في رمز المصادقة المفوَّض.

ننصحك بتحديد قيمة مدة صلاحية تبلغ 15 دقيقة لرموز المصادقة المفوضة لتجنُّب إعادة استخدامها المحتملة في حال تسرُّبها.

تمثيل JSON 
{
  "email": string,
  "iss": string,
  "aud": string,
  "exp": string,
  "iat": string,
  "google_email": string,
  "delegated_to": string,
  "resource_name": string
  ...
}
الحقول
email

string (UTF-8)

عنوان البريد الإلكتروني للمستخدم بتنسيق UTF-8.
iss

string

يجب التحقّق من صحة جهة إصدار الرمز المميز من خلال مجموعة موثوقة من جهات إصدار المصادقة.
aud

string

الجمهور، كما يحدّده موفّر الهوية يجب التحقّق من ذلك مقارنةً بالإعدادات على الجهاز.
exp

string

يجب التحقّق من وقت انتهاء الصلاحية.
iat

string

يجب التحقّق من وقت الإصدار.
delegated_to

string

معرّف للكيان الذي سيتم تفويض المصادقة إليه
resource_name

string

معرّف للعنصر المشفّر باستخدام مفتاح تشفير البيانات، والذي يكون التفويض صالحًا له.
...

يمكن لنظام KACLS استخدام أي مطالبات أخرى (الموقع الجغرافي، والمطالبة المخصّصة، وما إلى ذلك) لتقييم المحيط.

رمز المصادقة KACLS الخاص بـ PrivilegedUnwrap

رمز مميّز لحامل البطاقة (JWT: RFC 7516) صادر عن شريك الهوية (IdP) لإثبات هوية المستخدم.

يتم استخدام هذا الخيار فقط على PrivilegedUnwrap. أثناء PrivilegedUnwrap، إذا تم استخدام رمز JWT من KACLS بدلاً من رمز مصادقة من موفّر الهوية، يجب أن يسترد KACLS الخاص بالمستلِم أولاً مجموعة مفاتيح JSON الخاصة بجهة الإصدار، ثم يتحقّق من توقيع الرمز المميز، قبل التحقّق من المطالبات.

تمثيل JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
الحقول
aud

string

الجمهور، كما يحدّده موفّر الهوية بالنسبة إلى عمليات PrivilegedUnwrap في ميزة "التشفير من جهة العميل" (CSE) في Drive، يجب أن تكون القيمة kacls-migration.
exp

string

وقت انتهاء الصلاحية
iat

string

وقت الإصدار
iss

string

تمثّل هذه السمة جهة إصدار الرمز المميّز. يجب التحقّق من صحة هذا المعرّف استنادًا إلى مجموعة موثوق بها من جهات إصدار المصادقة. يجب أن تتطابق مع KACLS_URL لخدمة KACLS التي يتم إرسال الطلب منها. يمكن العثور على مجموعة المفاتيح العامة الخاصة بالجهة المصدرة على /certs.
kacls_url

string

عنوان URL لخدمة KACLS الحالية التي يتم فك تشفير البيانات عليها
resource_name

string

معرّف للعنصر المشفّر باستخدام مفتاح تشفير البيانات الحد الأقصى للحجم: 128 بايت.
...

يمكن لخدمة قائمة التحكّم بالوصول إلى مفاتيح التشفير (KACLS) استخدام أي مطالبات أخرى (الموقع الجغرافي، والمطالبة المخصّصة، وما إلى ذلك) لتقييم المحيط بدون أي تكلفة.