此页面由 Cloud Translation API 翻译。

身份验证令牌

身份合作伙伴 (IdP) 签发的不记名令牌 (JWT：RFC 7516)，用于证明用户身份。

JSON 表示法
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... }

字段
`aud`	`string` 由 IdP 标识的受众群体。应根据本地配置进行检查。
`email`	`string (UTF-8)` 用户的电子邮件地址。
`exp`	`string` 到期时间。
`iat`	`string` 发卡时间。
`iss`	`string` 令牌颁发者。应针对可信的身份验证签发者集进行验证。
`google_email`	`string` 一个可选声明，当此 JWT 中的电子邮件声明与用户的 Google Workspace 电子邮件 ID 不同时使用。此声明包含用户的 Google Workspace 电子邮件身份信息。
`...`	您的密钥访问控制列表服务 (KACLS) 可以免费使用任何其他声明（位置信息、自定义声明等）来评估安全边界。

`delegate` 的 KACLS 身份验证令牌

身份验证令牌包含一个 JSON Web 令牌 (JWT)（JWT：RFC 7516），该令牌是不记名身份验证令牌。

有时，用户无法直接在客户端上进行身份验证。在这些情况下，用户可以将其对特定资源的访问权限委托给相应客户端。这是通过签发新的委托身份验证令牌来实现的，该令牌会限制原始身份验证令牌的范围。

委托的身份验证令牌与普通身份验证令牌类似，但多了一项声明：

声明

声明
`delegated_to`	`string` 要将身份验证委托给的实体的标识符。

delegated_to

string

要将身份验证委托给的实体的标识符。

身份验证令牌中的 resource_name 声明在委托上下文中用于标识由数据加密密钥 (DEK) 加密的委托有效对象。

令牌由密钥访问控制列表服务 (KACLS) 使用 Delegate 调用进行颁发。它可以是 KACLS 能够验证的自签名 JWT，也可以是 KACLS 通过可信调用使用任何其他 IdP 来进行验证。

为了使委托的身份验证令牌被视为有效，必须为同一操作提供委托的授权令牌。委托授权令牌与普通授权令牌类似，但包含额外的声明 delegated_to。delegated_to 和 resource_name 声明的值必须与委托身份验证令牌中的值一致。

我们建议您为委托的身份验证令牌设置 15 分钟的有效时间值，以避免在发生泄漏时被重复使用。

JSON 表示法
{ "email": string, "iss": string, "aud": string, "exp": string, "iat": string, "google_email": string, "delegated_to": string, "resource_name": string ... }

字段
`email`	`string (UTF-8)` 用户的电子邮件地址（采用 UTF-8 格式）。
`iss`	`string` 应根据可信的身份验证发卡机构集验证令牌发卡机构。
`aud`	`string` 由 IdP 标识的受众群体。应根据本地配置进行检查。
`exp`	`string` 应检查到期时间。
`iat`	`string` 签发时间，应进行检查。
`delegated_to`	`string` 要将身份验证委托给的实体的标识符。
`resource_name`	`string` 由 DEK 加密的对象的标识符，委托对该对象有效。
`...`	KACLS 可以免费使用任何其他声明（位置、自定义声明等）来评估安全边界。

身份合作伙伴 (IdP) 签发的不记名令牌 (JWT：RFC 7516)，用于证明用户身份。

此属性仅在 PrivilegedUnwrap 上使用。在 PrivilegedUnwrap 期间，如果使用 KACLS JWT 代替 IDP 身份验证令牌，接收方 KACLS 必须先提取颁发者的 JWKS，然后验证令牌签名，最后检查声明。

JSON 表示法
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... }

字段
`aud`	`string` 由 IdP 标识的受众群体。对于云端硬盘客户端加密功能 (CSE) `PrivilegedUnwrap` 操作，此值应为 `kacls-migration`。
`exp`	`string` 到期时间。
`iat`	`string` 发卡时间。
`iss`	`string` 令牌颁发者。应针对可信的身份验证签发者集进行验证。必须与请求 KACLS 的 `KACLS_URL` 相匹配。签发者的公钥集可在 `/certs` 中找到。
`kacls_url`	`string` 当前 KACLS 的网址，数据正在该网址上解密。
`resource_name`	`string` 由 DEK 加密的对象的标识符。大小上限：128 字节。
`...`	您的密钥访问控制列表服务 (KACLS) 可以免费使用任何其他声明（位置信息、自定义声明等）来评估安全边界。