אסימוני אימות

אסימון למוכ"ז (JWT: RFC 7519) שהונפק על ידי ספק הזהויות (IdP) כדי לאמת את זהות המשתמש.

ייצוג ב-JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
שדות
aud

string

הקהל, כפי שזוהה על ידי ספק הזהויות. צריך לבדוק את ההגדרה המקומית.
email

string (UTF-8)

כתובת האימייל של המשתמש.
exp

string

שעת התפוגה.
iat

string

זמן ההנפקה.
iss

string

הישות שהנפיקה את הטוקן. צריך לאמת את המזהה מול קבוצת המנפיקים המהימנים של אימותים.
google_email

string

הצהרה אופציונלית, לשימוש כשההצהרה email ב-JWT הזה שונה ממזהה האימייל של המשתמש ב-Google Workspace. התביעה הזו כוללת את זהות האימייל של המשתמש ב-Google Workspace.
...

שירות רשימת המפתחות של בקרת הגישה (KACLS) יכול להשתמש בחינם בכל טענה אחרת (מיקום, טענה מותאמת אישית וכו') כדי להעריך את ההיקף.

טוקן אימות של KACLS עבור delegate

אסימון האימות מכיל אסימון אינטרנט מסוג JSON‏ (JWT) (JWT: RFC 7519) שהוא אסימון אימות מסוג bearer.

לפעמים משתמש לא יכול לבצע אימות ישירות בלקוח. במקרים האלה, המשתמש יכול להעביר את הגישה שלו למשאב ספציפי ללקוח הזה. הדבר נעשה באמצעות הנפקת טוקן אימות חדש עם הרשאת גישה מוגבלת, שמגביל את היקף טוקן האימות המקורי.

טוקן האימות שהוצל דומה לטוקן האימות הרגיל, עם טענה נוספת אחת:

טענה : הצהרה [לפי ההקשר]
delegated_to

string

מזהה של הישות שאליה מועברת סמכות האימות.

הצהרת resource_name באסימון האימות משמשת בהקשר של הענקת הרשאה לזיהוי האובייקט שמוצפן על ידי המפתח להצפנת נתונים (DEK) שעבורו ההרשאה תקפה.

האסימון מונפק על ידי שירות רשימת המפתחות של בקרת הגישה (KACLS) באמצעות הקריאה Delegate. יכול להיות שאלה אסימוני JWT בחתימה עצמית ש-KACLS יכול לאמת, או ש-KACLS יכול להשתמש בכל ספק זהויות אחר כדי לעשות זאת, באמצעות קריאה מהימנה.

כדי שאסימון האימות שהוצל יהיה תקף, צריך לספק אסימון הרשאה שהוצל לאותה פעולה. אסימון ההרשאה שהוקצתה דומה לאסימון ההרשאה הרגיל, אבל הוא מכיל את הטענה הנוספת delegated_to. הערכים של ההצהרות delegated_to ו-resource_name צריכים להיות זהים לערכים באסימון האימות שהוקצה.

מומלץ להגדיר ערך של 15 דקות לזמן החיים של אסימוני האימות שהוקצו, כדי למנוע שימוש חוזר פוטנציאלי במקרה של דליפה.

ייצוג ב-JSON 
{
  "email": string,
  "iss": string,
  "aud": string,
  "exp": string,
  "iat": string,
  "google_email": string,
  "delegated_to": string,
  "resource_name": string
  ...
}
שדות
email

string (UTF-8)

כתובת האימייל של המשתמש בפורמט UTF-8.
iss

string

צריך לאמת את מנפיק האסימון מול קבוצת המנפיקים המהימנים של אימותים.
aud

string

הקהל, כפי שזוהה על ידי ספק הזהויות. צריך לבדוק את ההגדרה המקומית.
exp

string

צריך לסמן את תיבת הסימון 'שעת התפוגה'.
iat

string

צריך לבדוק את שעת ההנפקה.
delegated_to

string

מזהה של הישות שאליה מועברת סמכות האימות.
resource_name

string

מזהה של האובייקט שהוצפן על ידי מפתח ה-DEK, שההרשאה תקפה לגביו.
...

ל-KACLS יש חופש להשתמש בכל טענה אחרת (מיקום, טענה מותאמת אישית וכו') כדי להעריך את ההיקף.

טוקן אימות של KACLS עבור PrivilegedUnwrap

אסימון למוכ"ז (JWT: RFC 7519) שהונפק על ידי ספק הזהויות (IdP) כדי לאמת את זהות המשתמש.

ההגדרה הזו רלוונטית רק ל-PrivilegedUnwrap. במהלך PrivilegedUnwrap, אם נעשה שימוש ב-JWT של KACLS במקום באסימון אימות של ספק זהויות, מערכת KACLS של הנמען צריכה קודם לאחזר את JWKS של המנפיק, ואז לאמת את חתימת האסימון, לפני בדיקת הטענות.

ייצוג ב-JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
שדות
aud

string

הקהל, כפי שזוהה על ידי ספק הזהויות. בפעולות של הצפנה מצד הלקוח (CSE) ב-Google Drive, הערך צריך להיות kacls-migration.PrivilegedUnwrap
exp

string

שעת התפוגה.
iat

string

זמן ההנפקה.
iss

string

הישות שהנפיקה את הטוקן. צריך לאמת את המזהה מול קבוצת המנפיקים המהימנים של אימותים. חייב להיות זהה ל-KACLS_URL של הבקשה ל-KACLS. אפשר למצוא את קבוצת המפתחות הציבוריים של המנפיק בכתובת <iss>/certs.
kacls_url

string

כתובת ה-URL של KACLS הנוכחי, שבו הנתונים מפוענחים.
resource_name

string

מזהה של האובייקט שמוצפן באמצעות מפתח הצפנת הנתונים. הגודל המקסימלי: 128 בייטים.
...

שירות רשימת המפתחות של בקרת הגישה (KACLS) יכול להשתמש בחינם בכל טענה אחרת (מיקום, טענה מותאמת אישית וכו') כדי להעריך את ההיקף.