אסימוני אימות

אסימון למוכ"ז (JWT: RFC 7519) שהונפק על ידי ספק הזהויות (IdP) כדי לאמת את זהות המשתמש.

ייצוג ב-JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
שדות
aud

string

הקהל, כפי שזוהה על ידי ספק הזהויות. צריך לבדוק את ההגדרה המקומית.
email

string (UTF-8)

כתובת האימייל של המשתמש.
exp

string

מועד התפוגה.
iat

string

זמן ההנפקה.
iss

string

הישות שהנפיקה את הטוקן. צריך לאמת את המידע מול קבוצת המנפיקים המהימנים של אישורי האימות.
google_email

string

הצהרה אופציונלית, לשימוש כשההצהרה email ב-JWT הזה שונה ממזהה האימייל של המשתמש ב-Google Workspace. התביעה הזו כוללת את זהות האימייל של המשתמש ב-Google Workspace.
...

שירות רשימת בקרת הגישה (KACLS) מאפשר להשתמש בחינם בכל הצהרה אחרת (מיקום, הצהרה מותאמת אישית וכו') כדי להעריך את גבולות הגזרה.

טוקן אימות של KACLS עבור delegate

אסימון האימות מכיל אסימון אינטרנט מסוג JSON‏ (JWT) (JWT: RFC 7519) שהוא אסימון אימות מסוג bearer.

לפעמים משתמש לא יכול לבצע אימות ישירות בלקוח. במקרים האלה, המשתמש יכול להעביר את הגישה שלו למשאב ספציפי ללקוח הזה. הדבר נעשה באמצעות הנפקת טוקן אימות חדש עם הרשאה מוגבלת, שמגביל את ההיקף של טוקן האימות המקורי.

טוקן האימות שהוצל דומה לטוקן האימות הרגיל, אבל יש בו טענה נוספת:

טענה : הצהרה [לפי ההקשר]
delegated_to

string

מזהה של הישות שאליה מועברת סמכות האימות.

הצהרת resource_name באסימון האימות משמשת בהקשר של הענקת הרשאה לזיהוי האובייקט שהוצפן על ידי המפתח להצפנת נתונים (DEK) שעבורו ההרשאה תקפה.

האסימון מונפק על ידי שירות רשימת המפתחות של בקרת הגישה (KACLS) באמצעות הקריאה Delegate. יכול להיות שאלה אסימוני JWT בחתימה עצמית ש-KACLS יכול לאמת, או ש-KACLS יכול להשתמש בכל ספק זהויות אחר כדי לעשות זאת, באמצעות קריאה מהימנה.

כדי שאסימון האימות שהוצל יהיה תקף, צריך לספק אסימון הרשאה שהוצל לאותה פעולה. אסימון ההרשאה שהוקצתה דומה לאסימון ההרשאה הרגיל, אבל הוא מכיל את הטענה הנוספת delegated_to. הערכים של ההצהרות delegated_to ו-resource_name צריכים להיות זהים לערכים באסימון האימות שהוקצה.

מומלץ להגדיר ערך של 15 דקות לזמן החיים של אסימוני האימות שהוקצו, כדי למנוע שימוש חוזר פוטנציאלי במקרה של דליפה.

ייצוג ב-JSON 
{
  "email": string,
  "iss": string,
  "aud": string,
  "exp": string,
  "iat": string,
  "google_email": string,
  "delegated_to": string,
  "resource_name": string
  ...
}
שדות
email

string (UTF-8)

כתובת האימייל של המשתמש בפורמט UTF-8.
iss

string

צריך לאמת את מנפיק האסימון מול קבוצת המנפיקים המהימנים של אימותים.
aud

string

הקהל, כפי שזוהה על ידי ספק הזהויות. צריך לבדוק את ההגדרה המקומית.
exp

string

צריך לסמן את תיבת הסימון 'שעת התפוגה'.
iat

string

צריך לבדוק את שעת ההנפקה.
delegated_to

string

מזהה של הישות שאליה מועברת סמכות האימות.
resource_name

string

מזהה של האובייקט שהוצפן על ידי מפתח ה-DEK, שההרשאה תקפה לגביו.
...

ה-KACLS יכול להשתמש בחינם בכל הצהרה אחרת (מיקום, הצהרה מותאמת אישית וכו') כדי להעריך את גבולות הגזרה.

טוקן אימות של KACLS עבור PrivilegedUnwrap

אסימון למוכ"ז (JWT: RFC 7519) שהונפק על ידי ספק הזהויות (IdP) כדי לאמת את זהות המשתמש.

ההגדרה הזו רלוונטית רק ל-PrivilegedUnwrap. במהלך PrivilegedUnwrap, אם נעשה שימוש ב-JWT של KACLS במקום באסימון אימות של IdP, מערכת KACLS של הנמען צריכה קודם לאחזר את JWKS של המנפיק, ואז לאמת את חתימת האסימון, לפני בדיקת ההצהרות.

ייצוג ב-JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
שדות
aud

string

הקהל, כפי שזוהה על ידי ספק הזהויות. בפעולות של הצפנה מצד הלקוח (CSE) ב-Google Drive‏ PrivilegedUnwrap, הערך צריך להיות kacls-migration.
exp

string

מועד התפוגה.
iat

string

זמן ההנפקה.
iss

string

הישות שהנפיקה את הטוקן. צריך לאמת את המידע מול קבוצת המנפיקים המהימנים של אישורי האימות. חייב להיות זהה ל-KACLS_URL של הבקשה של KACLS. המפתח הציבורי של המנפיק נמצא בכתובת <iss>/certs.
kacls_url

string

כתובת ה-URL של KACLS הנוכחי, שבו הנתונים מפוענחים.
resource_name

string

מזהה של האובייקט שמוצפן באמצעות מפתח הצפנת הנתונים. הגודל המקסימלי: 128 בייטים.
...

שירות רשימת בקרת הגישה (KACLS) מאפשר להשתמש בחינם בכל הצהרה אחרת (מיקום, הצהרה מותאמת אישית וכו') כדי להעריך את גבולות הגזרה.