Token del portador (JWT: RFC 7516) emitido por el socio de identidad (IdP) para certificar la identidad de un usuario.
| Representación JSON | |
|---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "google_email": string, ... } |
|
| Campos | |
|---|---|
aud |
Es el público, según lo identifica el IdP. Se debe verificar con la configuración local. |
email |
La dirección de correo electrónico del usuario. |
exp |
Es la hora de vencimiento. |
iat |
Es la fecha y hora de emisión. |
iss |
El emisor del token. Se debe validar con el conjunto de emisores de autenticación de confianza. |
google_email |
Es un reclamo opcional que se usa cuando el reclamo de correo electrónico en este JWT es diferente del ID de correo electrónico de Google Workspace del usuario. Este reclamo contiene la identidad de correo electrónico de Google Workspace del usuario. |
... |
Tu Servicio de Lista de Control de Acceso a Claves (KACLS) es libre de usar cualquier otro reclamo (ubicación, reclamo personalizado, etc.) para evaluar el perímetro. |
Token de autenticación de KACLS para delegate
El token de autenticación contiene un token web JSON (JWT) (JWT: RFC 7516) que es un token de autenticación del portador.
A veces, un usuario no puede autenticarse directamente en un cliente. En estos casos, el usuario puede delegar su acceso a un recurso específico a ese cliente. Esto se logra emitiendo un nuevo token de autenticación delegado que limita el alcance del token de autenticación original.
El token de autenticación delegado es similar al token de autenticación normal, pero con un reclamo adicional:
| reclamar | |
|---|---|
delegated_to |
Es un identificador de la entidad a la que se delegará la autenticación. |
En un contexto de delegación, el reclamo resource_name del token de autenticación se usa para identificar el objeto encriptado por la clave de encriptación de datos (DEK) para la que es válida la delegación.
El token se emite a través del servicio de lista de control de acceso a las claves (KACLS) con la llamada Delegate. Pueden ser JWT autofirmados que el KACLS pueda validar, o bien el KACLS puede usar cualquier otro IdP para hacerlo, a través de una llamada de confianza.
Para que el token de autenticación delegado se considere válido, se debe proporcionar un token de autorización delegado para la misma operación. El token de autorización delegado es similar al token de autorización normal, pero contiene el reclamo adicional delegated_to. Los valores de las reclamaciones delegated_to y resource_name deben coincidir con los valores del token de autenticación delegado.
Te recomendamos que establezcas un valor de tiempo de vida útil de 15 minutos para los tokens de autenticación delegada para evitar su posible reutilización en caso de filtración.
| Representación JSON | |
|---|---|
{ "email": string, "iss": string, "aud": string, "exp": string, "iat": string, "google_email": string, "delegated_to": string, "resource_name": string ... } |
|
| Campos | |
|---|---|
email |
Es la dirección de correo electrónico del usuario con formato UTF-8. |
iss |
El emisor del token se debe validar con el conjunto de emisores de autenticación de confianza. |
aud |
Es el público, según lo identifica el IdP. Se debe verificar con la configuración local. |
exp |
Se debe verificar la hora de vencimiento. |
iat |
Es la fecha y hora de emisión, que se debe verificar. |
delegated_to |
Es un identificador de la entidad a la que se delegará la autenticación. |
resource_name |
Es un identificador del objeto encriptado por la DEK para el que es válida la delegación. |
... |
El KACLS es libre de usar cualquier otro reclamo (ubicación, reclamo personalizado, etc.) para evaluar el perímetro. |
Token de autenticación de KACLS para PrivilegedUnwrap
Token del portador (JWT: RFC 7516) emitido por el socio de identidad (IdP) para certificar la identidad de un usuario.
Solo se usa en PrivilegedUnwrap. Durante PrivilegedUnwrap, si se usa un JWT de KACLS en lugar de un token de autenticación de IDP, el KACLS receptor primero debe recuperar el JWKS del emisor y, luego, verificar la firma del token antes de verificar las reclamaciones.
| Representación JSON | |
|---|---|
{ "aud": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string ... } |
|
| Campos | |
|---|---|
aud |
Es el público, según lo identifica el IdP. Para las operaciones de encriptación del cliente (CSE) de Drive |
exp |
Es la hora de vencimiento. |
iat |
Es la fecha y hora de emisión. |
iss |
El emisor del token. Se debe validar con el conjunto de emisores de autenticación de confianza. Debe coincidir con el |
kacls_url |
Es la URL de los KACLS actuales en los que se desencriptan los datos. |
resource_name |
Es un identificador del objeto encriptado por la DEK. Tamaño máximo: 128 bytes. |
... |
Tu Servicio de Lista de Control de Acceso a Claves (KACLS) es libre de usar cualquier otro reclamo (ubicación, reclamo personalizado, etc.) para evaluar el perímetro. |