Inhabertoken (JWT: RFC 7516), das vom Identitätspartner (IdP) ausgestellt wird, um die Identität eines Nutzers zu bestätigen.
JSON-Darstellung | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
Felder | |
---|---|
aud |
Die Zielgruppe, wie vom IdP identifiziert. Sollte mit der lokalen Konfiguration abgeglichen werden. |
email |
Die E-Mail-Adresse des Nutzers. |
exp |
Ablaufzeit. |
iat |
Ausstellungszeit. |
iss |
Der Tokenaussteller. Muss anhand der vertrauenswürdigen Authentifizierungsaussteller validiert werden. |
google_email |
Ein optionaler Anspruch, der verwendet wird, wenn sich der E-Mail-Anspruch in diesem JWT von der Google Workspace-E-Mail-ID des Nutzers unterscheidet. Dieser Anspruch enthält die Google Workspace-E-Mail-Identität des Nutzers. |
... |
Ihr Key Access Control List Service (KACLS) steht Ihnen kostenlos, andere Anforderungen (Standort, benutzerdefinierte Anforderung usw.) zur Bewertung des Perimeters zu verwenden. |
KACLS-Authentifizierungstoken für PrivilegedUnwrap
Inhabertoken (JWT: RFC 7516), das vom Identitätspartner (IdP) ausgestellt wird, um die Identität eines Nutzers zu bestätigen.
Wird nur auf PrivilegedUnwrap
verwendet. Wenn während der PrivilegedUnwrap
-Phase ein KACLS-JWT anstelle eines IdP-Authentifizierungstokens verwendet wird, muss das Empfänger-KACLS zuerst den JWKS des Ausstellers abrufen und dann die Tokensignatur prüfen, bevor die Anforderungen geprüft werden.
JSON-Darstellung | |
---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
Felder | |
---|---|
aud |
Die Zielgruppe, wie vom IdP identifiziert. Für |
exp |
Ablaufzeit. |
iat |
Ausstellungszeit. |
iss |
Der Tokenaussteller. Muss anhand der vertrauenswürdigen Authentifizierungsaussteller validiert werden. Muss mit der |
kacls_url |
URL des aktuellen KACLS, auf dem die Daten entschlüsselt werden. |
resource_name |
Eine Kennung für das vom DEK verschlüsselte Objekt. Maximale Größe: 128 Byte. |
... |
Ihr Key Access Control List Service (KACLS) steht Ihnen kostenlos, andere Anforderungen (Standort, benutzerdefinierte Anforderung usw.) zur Bewertung des Perimeters zu verwenden. |