Felder für den Endpunkt zur Validierung des Attestierungstokens

Welchen Validierungsendpunkt Sie verwenden, hängt vom angeforderten Tokentyp ab:

OIDC-Tokens

In der folgenden Tabelle werden die allgemeinen Felder beschrieben, die am OIDC-Token-Bestätigungsendpunkt https://confidentialcomputing.googleapis.com/.well-known/openid-configuration zurückgegeben werden.

Schlüssel Beschreibung
claims_supported Die Schlüssel im Attestierungstoken. Weitere Informationen finden Sie unter Anforderungstypen für Attestierungstoken.
id_token_signing_alg_values_supported Die Signaturalgorithmen (alg-Werte), die vom Token unterstützt werden. Confidential Space unterstützt den Algorithmus RS256.
issuer

Das HTTPS-Schema, das Confidential Space als Aussteller-ID verwendet.

Der Wert ist https://confidentialcomputing.googleapis.com.

jwks_uri

Der Pfad zu den öffentlichen Schlüsseln, die zur Überprüfung der Tokensignatur verwendet werden. Sie können diese Schlüssel in einem Cloud Storage-Bucket veröffentlichen.

Die jwks_uri-Schlüssel finden Sie unter https://www.googleapis.com/service_accounts/v1/metadata/jwk/signer@confidentialspace-sign.iam.gserviceaccount.com.

Ein Beispielwert ist https://example.storage.googleapis.com/jwks.json..

response_types_supported Liste der unterstützten Antworttypen für vertrauliche Gruppenbereiche Confidential Space unterstützt id_token.
scopes_supported Die OAuth 2.0-Bereichswerte, die von der Confidential VM-Instanz unterstützt werden. Confidential Space unterstützt nur openid.
subject_types_supported Die Typen von Subjekt-IDs, die in Confidential Space unterstützt werden. Confidential Space unterstützt public.

PKI-Tokens

In der folgenden Tabelle werden die allgemeinen Felder beschrieben, die am Endpunkt zur PKI-Tokenbestätigung https://confidentialcomputing.googleapis.com/.well-known/attestation-pki-root zurückgegeben werden.

root_ca_uri Der Pfad zum Stammzertifikat, mit dem die Signatur eines PKI-Tokentyps überprüft wird.