사용자의 신원을 증명하기 위해 ID 파트너 (IdP)가 발급한 Bearer 토큰 (JWT: RFC 7516)입니다.
| JSON 표현 | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
|
| 필드 | |
|---|---|
aud |
IdP에서 식별한 잠재고객입니다. 로컬 구성에 대해 확인해야 합니다. |
email |
사용자의 이메일 주소 |
exp |
만료 시간입니다. |
iat |
발급 시간입니다. |
iss |
토큰 발급기관입니다. 신뢰할 수 있는 인증 발급자 집합에 대해 검증해야 합니다. |
google_email |
이 JWT의 이메일 클레임이 사용자의 Google Workspace 이메일 ID와 다른 경우에 사용되는 선택적 클레임입니다. 이 클레임은 사용자의 Google Workspace 이메일 ID를 전달합니다. |
... |
키 액세스 제어 목록 서비스 (KACLS)는 다른 클레임 (위치, 맞춤 클레임 등)을 사용하여 경계를 평가할 수 있습니다. |
delegate의 KACLS 인증 토큰
인증 토큰에는 Bearer 인증 토큰인 JSON 웹 토큰 (JWT) (JWT: RFC 7516)이 포함되어 있습니다.
사용자가 클라이언트에서 직접 인증할 수 없는 경우가 있습니다. 이 경우 사용자는 특정 리소스에 대한 액세스 권한을 해당 클라이언트에 위임할 수 있습니다. 이는 원래 인증 토큰의 범위를 제한하는 새로운 위임된 인증 토큰을 발급하여 달성됩니다.
위임된 인증 토큰은 일반 인증 토큰과 비슷하지만 다음과 같은 클레임이 하나 더 있습니다.
| 주장 | |
|---|---|
delegated_to |
인증을 위임할 항목의 식별자입니다. |
인증 토큰의 resource_name 클레임은 위임 컨텍스트에서 위임이 유효한 데이터 암호화 키 (DEK)로 암호화된 객체를 식별하는 데 사용됩니다.
이 토큰은 Delegate 호출을 사용하여 키 액세스 제어 목록 서비스 (KACLS)에서 발급합니다. KACLS가 검증할 수 있는 자체 서명 JWT일 수도 있고, KACLS가 신뢰할 수 있는 호출을 통해 다른 IdP를 사용하여 이를 수행할 수도 있습니다.
위임된 인증 토큰이 유효한 것으로 간주되려면 동일한 작업에 대해 위임된 승인 토큰이 제공되어야 합니다. 위임된 승인 토큰은 일반 승인 토큰과 유사하지만 추가 클레임 delegated_to이 포함되어 있습니다. delegated_to 및 resource_name 클레임의 값은 위임된 인증 토큰의 값과 일치해야 합니다.
유출 시 재사용될 가능성을 방지하기 위해 위임된 인증 토큰의 수명을 15분으로 설정하는 것이 좋습니다.
| JSON 표현 | |
|---|---|
{ "email": string, "iss": string, "aud": string, "exp": string, "iat": string, "google_email": string, "delegated_to": string, "resource_name": string ... } |
|
| 필드 | |
|---|---|
email |
사용자의 UTF-8 형식 이메일 주소입니다. |
iss |
토큰 발급자는 신뢰할 수 있는 인증 발급자 집합에 대해 검증해야 합니다. |
aud |
IdP에서 식별한 잠재고객입니다. 로컬 구성에 대해 확인해야 합니다. |
exp |
만료 시간을 확인해야 합니다. |
iat |
발급 시간을 확인해야 합니다. |
delegated_to |
인증을 위임할 항목의 식별자입니다. |
resource_name |
위임이 유효한 DEK로 암호화된 객체의 식별자입니다. |
... |
KACLS는 다른 클레임 (위치, 맞춤 클레임 등)을 사용하여 경계를 평가할 수 있습니다. |
PrivilegedUnwrap의 KACLS 인증 토큰
사용자의 신원을 증명하기 위해 ID 파트너 (IdP)가 발급한 Bearer 토큰 (JWT: RFC 7516)입니다.
이 값은 PrivilegedUnwrap에서만 사용됩니다. PrivilegedUnwrap 중에 IDP 인증 토큰 대신 KACLS JWT를 사용하는 경우 수신자 KACLS는 먼저 발급자의 JWKS를 가져온 다음 클레임을 확인하기 전에 토큰 서명을 확인해야 합니다.
| JSON 표현 | |
|---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
|
| 필드 | |
|---|---|
aud |
IdP에서 식별한 잠재고객입니다. Drive 클라이언트 측 암호화 (CSE) |
exp |
만료 시간입니다. |
iat |
발급 시간입니다. |
iss |
토큰 발급기관입니다. 신뢰할 수 있는 인증 발급자 집합에 대해 검증해야 합니다. 요청하는 KACLS의 |
kacls_url |
데이터가 복호화되는 현재 KACLS의 URL입니다. |
resource_name |
DEK로 암호화된 객체의 식별자입니다. 최대 크기: 128바이트 |
... |
키 액세스 제어 목록 서비스 (KACLS)는 다른 클레임 (위치, 맞춤 클레임 등)을 사용하여 경계를 평가할 수 있습니다. |