Jetons d'authentification

Jeton de support (JWT : RFC 7519) émis par le fournisseur d'identité (IdP) pour attester de l'identité d'un utilisateur.

Représentation JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}
Champs
aud

string

Audience, telle qu'identifiée par le fournisseur d'identité. Doit être vérifiée par rapport à la configuration locale.
email

string (UTF-8)

Adresse e-mail de l'utilisateur.
exp

string

Date d'expiration.
iat

string

Heure d'émission.
iss

string

Émetteur de jeton. Doit être validé par rapport à l'ensemble approuvé d'émetteurs d'authentification.
google_email

string

Revendication facultative à utiliser lorsque la revendication d'e-mail dans ce jeton JWT est différente de l'ID d'e-mail Google Workspace de l'utilisateur. Cette revendication contient l'identité de l'e-mail Google Workspace de l'utilisateur.
...

Votre service de liste de contrôle d'accès aux clés (KACLS) est libre d'utiliser d'autres revendications (emplacement, revendication personnalisée, etc.) pour évaluer le périmètre.

Jeton d'authentification KACLS pour delegate

Le jeton d'authentification contient un jeton Web JSON (JWT) (JWT : RFC 7519) qui est un jeton d'authentification de support.

Parfois, un utilisateur ne peut pas s'authentifier directement sur un client. Dans ce cas, il peut déléguer son accès à une ressource spécifique à ce client. Pour ce faire, il émet un nouveau jeton d'authentification délégué qui limite le champ d'application du jeton d'authentification d'origine.

Le jeton d'authentification délégué est semblable au jeton d'authentification ordinaire, à une revendication supplémentaire près :

revendication
delegated_to

string

Identifiant de l'entité à laquelle déléguer l'authentification.

Dans un contexte de délégation, la revendication resource_name du jeton d'authentification est utilisée pour identifier l'objet chiffré par la clé de chiffrement des données (DEK) pour lequel la délégation est valide.

Le jeton est émis par le service de liste de contrôle d'accès aux clés (KACLS) à l'aide de l'appel Delegate. Il peut s'agir de jetons JWT autosignés que KACLS est en mesure de valider, ou KACLS peut utiliser n'importe quel autre fournisseur d'identité pour ce faire, via un appel approuvé.

Pour que le jeton d'authentification délégué soit considéré comme valide, un jeton d'autorisation délégué doit être fourni pour la même opération. Le jeton d'autorisation délégué est semblable au jeton d'autorisation ordinaire, mais il contient la revendication supplémentaire delegated_to. Les valeurs des revendications delegated_to et resource_name doivent correspondre à celles du jeton d'authentification délégué.

Nous vous recommandons de définir une durée de vie de 15 minutes pour les jetons d'authentification délégués afin d'éviter toute réutilisation potentielle en cas de fuite.

Représentation JSON 
{
  "email": string,
  "iss": string,
  "aud": string,
  "exp": string,
  "iat": string,
  "google_email": string,
  "delegated_to": string,
  "resource_name": string
  ...
}
Champs
email

string (UTF-8)

Adresse e-mail de l'utilisateur au format UTF-8.
iss

string

Émetteur de jeton. Doit être validé par rapport à l'ensemble approuvé d'émetteurs d'authentification.

aud

string

Audience, telle qu'identifiée par le fournisseur d'identité. Doit être vérifiée par rapport à la configuration locale.
exp

string

Date d'expiration. Doit être vérifiée.
iat

string

Heure d'émission. Doit être vérifiée.
delegated_to

string

Identifiant de l'entité à laquelle déléguer l'authentification.
resource_name

string

Identifiant de l'objet chiffré par la clé de chiffrement des données pour lequel la délégation est valide.
...

Le KACLS est libre d'utiliser d'autres revendications (emplacement, revendication personnalisée, etc.) pour évaluer le périmètre.

Jeton d'authentification KACLS pour PrivilegedUnwrap

Jeton de support (JWT : RFC 7519) émis par le fournisseur d'identité (IdP) pour attester de l'identité d'un utilisateur.

N'est utilisé que sur PrivilegedUnwrap. Lors de l'opération PrivilegedUnwrap, si un jeton JWT KACLS est utilisé à la place d'un jeton d'authentification IdP, le KACLS destinataire doit d'abord récupérer le JWKS de l'émetteur, puis vérifier la signature du jeton avant de vérifier les revendications.

Représentation JSON 
{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}
Champs
aud

string

Audience, telle qu'identifiée par le fournisseur d'identité. Pour les opérations de chiffrement côté client (CSE) de Google Drive PrivilegedUnwrap, cette valeur doit être kacls-migration.
exp

string

Date d'expiration.
iat

string

Heure d'émission.
iss

string

Émetteur de jeton. Doit être validé par rapport à l'ensemble approuvé d'émetteurs d'authentification. Doit correspondre au KACLS_URL du KACLS demandeur. L'ensemble de clés publiques de l'émetteur se trouve à l'adresse <iss>/certs.
kacls_url

string

URL du KACLS actuel sur lequel les données sont déchiffrées.
resource_name

string

Identifiant de l'objet chiffré par la clé de chiffrement des données. Taille maximale : 128 octets.
...

Votre service de liste de contrôle d'accès aux clés (KACLS) est libre d'utiliser d'autres revendications (emplacement, revendication personnalisée, etc.) pour évaluer le périmètre.