الطريقة: delegate

تعرض هذه المكالمة رمز JSON مميّزًا جديدًا للمصادقة على الويب (JWT) يتيح لكيان الوصول إلى مورد محدّد نيابةً عن المستخدم الذي تمت مصادقته في رمز JWT الأصلي للمصادقة. يتم استخدامها لتفويض الوصول المحدود النطاق إلى التغليف أو إزالة التغليف إلى كيان آخر عندما يحتاج هذا الكيان إلى تنفيذ إجراء نيابةً عن المستخدم.

طلب HTTP

POST https://<base_url>/delegate

استبدِل <base_url> بعنوان URL الخاص بخدمة قائمة التحكّم بالوصول إلى مفاتيح التشفير (KACLS).

مَعلمات المسار

بلا عُري

نص الطلب

يحتوي نص الطلب على تمثيل JSON للطلب:

تمثيل JSON 
{
  "authentication": string,
  "authorization": string,
  "reason": string
}
الحقول
authentication

string

رمز JWT صادر عن جهة خارجية يؤكّد هوية المستخدم. راجِع قسم المصادقة لمعرفة التفاصيل.
authorization

string

رمز JWT يتضمّن المطالبتَين delegated_to وresource_name اللتين تؤكّدان أنّ الكيان الذي تحدّده المطالبة delegated_to مسموح له بالوصول إلى resource_name نيابةً عن المستخدم. لمزيد من المعلومات، يُرجى الاطّلاع على رموز التفويض.
reason

string (UTF-8)

سلسلة JSON تمريرية توفّر سياقًا إضافيًا حول العملية. يجب تنظيف ملف JSON المقدَّم قبل عرضه. الحد الأقصى للحجم: 1 كيلوبايت

خطوات المعالجة المطلوبة

يجب أن تنفّذ خدمة KACLS الخطوات التالية على الأقل:

  • التحقّق من صحة رموز التفويض والمصادقة لمزيد من المعلومات، يُرجى الاطّلاع على رموز التفويض ورموز المصادقة.
  • تأكَّد من أنّ رموز التفويض والمصادقة تخصّ المستخدم نفسه. لمزيد من المعلومات، يُرجى الاطّلاع على تشفير البيانات وفك تشفيرها.
  • تأكَّد من أنّ مطالبة kacls_url في رمز الإذن تتطابق مع عنوان URL الحالي لخدمة KACLS. ويتيح ذلك رصد الخوادم المحتملة التي تم إعدادها من قِبل أشخاص من الداخل أو مشرفي نطاقات غير مصرح لهم.
  • إذا كان الادّعاء kacls_owner_domain متوفّرًا في رمز التفويض، تأكَّد من أنّ القيمة تتطابق مع نطاق Google Workspace الخاص بمالك KACLS. يساعد ذلك في منع المستخدمين غير المصرَّح لهم من تسجيل نظام KACLS لدى Google.
  • سجِّل العملية، بما في ذلك المستخدم الذي بدأها، وdelegated_to، وresource_name، والسبب الذي تم إرساله في الطلب.
  • أنشئ رمز JWT مميزًا ووقِّعه وأرجِعه، على أن يحتوي على المطالبات delegated_to وresource_name من رمز التفويض المميز.

يمكن لنظام KACLS إجراء عمليات فحص أمان إضافية مجانًا، بما في ذلك عمليات الفحص المستندة إلى مطالبات JWT.

نص الاستجابة

في حال نجاح العملية، تعرض هذه الطريقة رمز JWT للمصادقة يحتوي على المطالبات delegated_to وresource_name. يمكن استخدام هذا الرمز المميز لاحقًا للمصادقة في المكالمات التي يتم إجراؤها باستخدام طريقتَي Wrap وUnwrap. في حال حدوث خطأ، يجب عرض ردّ خطأ منظَّم.

تمثيل JSON 
{
  "delegated_authentication": string
}
الحقول
delegated_authentication

string

رمز JWT للمصادقة المفوضة صالح للوصول إلى resource_name من قِبل المستخدم المذكور في رمز JWT الأصلي للمصادقة. لمزيد من المعلومات، يُرجى الاطّلاع على رمز المصادقة المميز في KACLS لـ delegate.

مثال

طلب

POST https://mykacls.example.com/v1/delegate
{
  "authentication": "eyJhbGciOi...",
  "authorization": "eyJhbGciOi...delegated_to\":\"other_entity_id\",\"resource_name\":\"meeting_id\"...}",
  "reason": "{client:'meet' op:'delegate_access'}"
}

الردّ

{
  "delegated_authentication": "eyJhbGciOi...delegated_to_from_authz_token...resource_name_from_authz_token...}"
}