Catégorie authorization
Dans cette catégorie de logs se trouvent toutes les requêtes métier concernant les jetons d'autorisation JWT qui permettent de vérifier si l'utilisateur est autorisé.
Action verify 
L'action verify signifie que la validation d'un jeton d'autorisation vient d'être effectuée. Elle génère un log de sévérité "info" si le jeton est valide ou un log de sévérité "notice" s'il est invalide.
Les champs des logs pour cette action sont les suivants :
|
Champ |
Description |
Type |
Obligatoire/Optionnel |
|---|---|---|---|
|
tenant_id |
Identifiant du tenant. Exemple : 025f02fe-bee2-444b-bf76-b5ead30327c0 |
Chaîne de caractères au format uuid v4 | Obligatoire |
|
jwk |
Informations sur le JWK utilisé pour valider le jeton. |
Objet | Obligatoire |
|
jwt |
Contenu du jeton. |
Objet | Obligatoire |
|
valid |
Vérification de la légitimité du jeton. Valeurs possibles :
|
Booléen | Obligatoire |
|
type |
Type du jeton. Valeurs possibles :
|
Chaîne de caractères | Obligatoire |
|
details |
Message complémentaire décrivant la cause de refus du jeton. Présent uniquement quand le jeton est invalide : Exemple : JWT expired |
Chaîne de caractères | Optionnel |
Description de l'objet JWKS
|
Champ |
Description |
Type |
Obligatoire/Optionnel |
|---|---|---|---|
|
kid |
Identifiant de la clé. Exemple : 87bbe0815b064e6d449cac999f0e50e72a3e4374 |
Chaîne de caractères | Obligatoire |
|
alg |
Algorithme utilisé. Valeur possible :
|
Chaîne de caractères | Obligatoire |
Description de l'objet JWT
|
Champ |
Description |
Type |
Obligatoire/Optionnel |
|---|---|---|---|
|
|
Adresse e-mail de l'utilisateur concerné par le jeton. Exemple : alice.dupont@gmail.com |
Chaîne de caractères | Obligatoire |
|
iss |
Service qui génère le jeton (issuer). Exemple : https://google.onelogin.com/ |
Chaîne de caractères | Obligatoire |
|
aud |
Destinataire du jeton (audience). Exemple : a7cb5600-cbb0-023b-531e-02449949762c38534 |
Tableau de chaînes de caractères | Obligatoire |
|
exp |
Délai d'expiration après lequel le JWT ne doit plus être accepté. Sous la forme d'un timestamp en secondes. Exemple : 1720542398 |
Entier | Obligatoire |
|
role |
Rôle de l'utilisateur. Exemple : reader |
Chaîne de caractères | Obligatoire |
|
iat |
Date de création du jeton (issued at). Sous la forme d'un timestamp en secondes. Exemple : 1720535198 |
Entier | Optionnel |
|
resource_name |
Identifiant de la ressource du jeton, uniquement pour les jetons de type kacls_to_kacls. Exemple : //googleapis.com/drive/files/1OJsaKJM5JES1yi79QCKx-13wOR1i8JPU |
Chaîne de caractères | Optionnel |
|
perimeter_id |
Identifiant pour effectuer une vérification des demandes d'autorisation. Exemple : 22041999 |
Chaîne de caractères | Optionnel |
|
kacls_url |
URL du KACLS, uniquement pour les jetons de type kacls_to_kacls. Exemple : https://cse.mysds.io/api/v1/f438ae27-f33d-1fa3-b1e2-efc4d7635684 |
Chaîne de caractères | Optionnel |
|
email_type |
Origine de l'adresse e-mail de l’utilisateur. Exemple : "google" |
Chaîne de caractères | Optionnel |
|
message_id |
Identifiant du message sur lequel l'opération de signature ou de déchiffrement a été effectuée. Exemple : <CADBpGcUzg2iGuYyRoGkQg4F8sHXNoQtxbSxS7OiyJg |
Chaîne de caractères | Optionnel |
|
spki_hash_algorithm |
Algorithme utilisé pour produire le spki_hash. Exemple : SHA-256 |
Chaîne de caractères | Optionnel |
|
spki_hash |
Digest en base64 de la clé publique. Exemple : YSBzcGtpIGhhc2ggb2YgdGhlIHB1YmxpYyBrZXk= |
Chaîne de caractères | Optionnel |
|
number_of_custom_claims |
Nombre de données personnalisées (custom claims) contenues dans le jeton. Exemple : 1 |
Entier | Obligatoire |