Felder für den Endpunkt zur Validierung des Attestierungstokens

Welchen Validierungs-Endpunkt Sie verwenden, hängt vom Typ des Tokens ab, das Sie angefordert haben:

OIDC-Tokens

OIDC-Tokens werden von Google Cloud Attestation, AWS und Intel Trust Authority bereitgestellt.

In der folgenden Tabelle werden die Felder der obersten Ebene beschrieben, die am OIDC-Token-Validierungsendpunkt zurückgegeben werden. Der Endpunkt wird erstellt, indem .well-known/openid-configuration an den Aussteller-URI angehängt wird.

Schlüssel Beschreibung
claims_supported Die Schlüssel im Attestierungstoken. Weitere Informationen finden Sie unter Ansprüche für Attestierungstokens.
id_token_signing_alg_values_supported Die vom Token unterstützten Signaturalgorithmen (alg-Werte). Confidential Space unterstützt den RS256-Algorithmus.
issuer

Das HTTPS-Schema, das Confidential Space als Aussteller-ID verwendet. Der Wert hängt vom verwendeten Attestierungsdienst ab:

  • Google Cloud Attestation: https://confidentialcomputing.googleapis.com
  • Intel Trust Authority: https://portal.trustauthority.intel.com
jwks_uri

Der Pfad zu den öffentlichen Schlüsseln, die zum Überprüfen der Tokensignatur verwendet werden. Sie können diese Schlüssel in einem Cloud Storage-Bucket veröffentlichen.

Die jwks_uri-Schlüssel finden Sie unter https://www.googleapis.com/service_accounts/v1/metadata/jwk/signer@confidentialspace-sign.iam.gserviceaccount.com.

Ein Beispielwert ist https://example.storage.googleapis.com/jwks.json.

response_types_supported Eine Liste der unterstützten Confidential Space-Antworttypen. Confidential Space unterstützt id_token.
scopes_supported Die OAuth 2.0-Bereichswerte, die von der Confidential VM-Instanz unterstützt werden. Confidential Space unterstützt nur openid.
subject_types_supported Die Arten von Subjekt-IDs, die von Confidential Space unterstützt werden. Confidential Space unterstützt public.

PKI-Tokens

In der folgenden Tabelle werden die Felder auf hoher Ebene beschrieben, die am PKI-Token-Validierungsendpunkt https://confidentialcomputing.googleapis.com/.well-known/attestation-pki-root zurückgegeben werden.

root_ca_uri Der Pfad zum Root-Zertifikat, das zum Überprüfen einer Signatur vom Typ „PKI-Token“ verwendet wird.