ユーザーの ID を証明するために ID パートナー(IdP)によって発行される署名なしトークン(JWT: RFC 7516)。
| JSON 表現 | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
|
| フィールド | |
|---|---|
aud |
IdP によって識別されたオーディエンス。ローカル構成に対して確認する必要があります。 |
email |
ユーザーのメール アドレスです。 |
exp |
有効期限。 |
iat |
発行時間。 |
iss |
トークン発行者。信頼できる認証発行者のセットに対して検証する必要があります。 |
google_email |
この JWT のメール クレームがユーザーの Google Workspace メール ID と異なる場合に使用する省略可能なクレーム。このクレームには、ユーザーの Google Workspace メール ID が含まれます。 |
... |
鍵アクセス制御リスト サービス(KACLS)は、他のクレーム(位置情報、カスタム クレームなど)を使用して境界を評価できます。 |
delegate の KACLS 認証トークン
認証トークンには、署名なし認証トークンである JSON ウェブトークン(JWT)(JWT: RFC 7516)が含まれています。
クライアントでユーザーを直接認証できない場合があります。このような場合、ユーザーは特定のリソースへのアクセス権をそのクライアントに委任できます。これは、元の認証トークンのスコープを制限する新しい委任認証トークンを発行することで実現されます。
委任された認証トークンは、通常の認証トークンと似ていますが、次の 1 つの追加クレームがあります。
| 申し立て | |
|---|---|
delegated_to |
認証を委任するエンティティの識別子。 |
認証トークンの resource_name クレームは、委任コンテキストで、委任が有効なデータ暗号鍵(DEK)によって暗号化されたオブジェクトの識別に使用されます。
このトークンは、Delegate 呼び出しを使用して鍵アクセス制御リスト サービス(KACLS)によって発行されます。KACLS が検証できる自己署名 JWT である場合もあれば、KACLS が信頼できる呼び出しを通じて他の IdP を使用して検証する場合もあります。
委任された認証トークンが有効と見なされるには、同じオペレーションに対して委任された認可トークンが提供されている必要があります。委任された認証トークンは通常の認証トークンと似ていますが、追加のクレーム delegated_to が含まれています。delegated_to クレームと resource_name クレームの値は、委任された認証トークンの値と一致する必要があります。
漏洩した場合の再利用を防ぐため、委任された認証トークンの有効期間を 15 分に設定することをおすすめします。
| JSON 表現 | |
|---|---|
{ "email": string, "iss": string, "aud": string, "exp": string, "iat": string, "google_email": string, "delegated_to": string, "resource_name": string ... } |
|
| フィールド | |
|---|---|
email |
ユーザーの UTF-8 形式のメールアドレス。 |
iss |
トークン発行者は、信頼できる認証発行者のセットに対して検証する必要があります。 |
aud |
IdP によって識別されたオーディエンス。ローカル構成に対して確認する必要があります。 |
exp |
有効期限を確認する必要があります。 |
iat |
発行時間を確認する必要があります。 |
delegated_to |
認証を委任するエンティティの識別子。 |
resource_name |
委任が有効な DEK で暗号化されたオブジェクトの識別子。 |
... |
KACLS は、他のクレーム(ロケーション、カスタム クレームなど)を使用して境界を評価できます。 |
PrivilegedUnwrap の KACLS 認証トークン
ユーザーの ID を証明するために ID パートナー(IdP)によって発行される署名なしトークン(JWT: RFC 7516)。
これは PrivilegedUnwrap でのみ使用されます。PrivilegedUnwrap の間に、IDP 認証トークンの代わりに KACLS JWT が使用される場合、受信側の KACLS は、まず発行者の JWKS を取得し、トークン署名を検証してから、クレームを確認する必要があります。
| JSON 表現 | |
|---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
|
| フィールド | |
|---|---|
aud |
IdP によって識別されたオーディエンス。ドライブのクライアントサイド暗号化(CSE)の |
exp |
有効期限。 |
iat |
発行時間。 |
iss |
トークン発行者。信頼できる認証発行者のセットに対して検証する必要があります。リクエスト元の KACLS の |
kacls_url |
データが復号化されている現在の KACLS の URL。 |
resource_name |
DEK で暗号化されたオブジェクトの識別子。最大サイズ: 128 バイト。 |
... |
鍵アクセス制御リスト サービス(KACLS)は、他のクレーム(位置情報、カスタム クレームなど)を使用して境界を評価できます。 |