Tokens de autenticación

{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "google_email": string,
  ...
}

string

El público, según lo identifica el IdP. Debe verificarse con la configuración local.

string (UTF-8)

La dirección de correo electrónico del usuario.

string

Hora de vencimiento.

string

Tiempo de emisión.

string

El emisor del token. Debe validarse con el conjunto de entidades emisoras de autenticación de confianza.

string

Es una reclamación opcional, que se usará cuando la reclamación de correo electrónico de este JWT sea diferente del ID de correo electrónico de Google Workspace del usuario. Este reclamo lleva la identidad de correo electrónico de Google Workspace del usuario.

Tu servicio de lista de control de acceso a las claves (KACLS) puede usar cualquier otra reclamación (ubicación, reclamación personalizada, etc.) para evaluar el perímetro.

{
  "aud": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string
  ...
}

string

El público, según lo identifica el IdP. Para las operaciones PrivilegedUnwrap de encriptación del cliente (CSE) de Drive, debe ser kacls-migration.

string

Hora de vencimiento.

string

Tiempo de emisión.

string

El emisor del token. Debe validarse con el conjunto de entidades emisoras de autenticación de confianza. Debe coincidir con el KACLS_URL de las KACLS solicitantes. El conjunto de claves públicas de la entidad emisora se encuentra en /certs.

string

URL de las KACLS actuales sobre las que se desencriptan los datos.

string

Un identificador para el objeto encriptado por la DEK. Tamaño máximo: 128 bytes.

Tu servicio de lista de control de acceso a las claves (KACLS) puede usar cualquier otra reclamación (ubicación, reclamación personalizada, etc.) para evaluar el perímetro.