認可トークン

署名なしトークン(JWT: RFC 7516) 発行され、呼び出し元が暗号化または復号する権限を持っていることを リソースです。

不正使用を防ぐために、Key Access Control List Service(KACLS)は、 呼び出し元は、その前にオブジェクト(ファイルまたはドキュメント)を暗号化する その鍵をラップして復号してから、DEK をラップ解除します。

Google ドキュメントの認証トークンとドライブ、カレンダー、Meet のクライアントサイド暗号化(CSE)

JSON 表現
{
  "aud": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
フィールド
aud

string

Google が指定したオーディエンス。ローカルの設定と照合する必要があります。

email

string (UTF-8)

ユーザーのメール アドレスです。

email_type

string

次のいずれかの値が含まれます。

  • google: このメールは Google アカウントのものです。
  • google-visitor: このメールは Google アカウントのものではありません。 Google によって PIN コードが確認されています。
  • customer-idp: このメールは Google アカウントのものではありません。 ただし、そのユーザーのメールアドレスは、お客様が設定した IdP を使用して抽出されました。
  • 申し立ての設定を解除できます。その場合、デフォルト値は「google」です。
exp

string

有効期限。

iat

string

発行時刻。

iss

string

トークン発行者。信頼できる認証発行者のセットに対して検証する必要がある。

kacls_url

string

構成済みのベース KACLS URL。中間者(PITM)攻撃の防止に使用されます。

perimeter_id

string (UTF-8)

(省略可)ドキュメントの場所に関連付けられた値。ラップ解除時にチェックする境界を選択できます。最大サイズ: 128 バイト。

resource_name

string (UTF-8)

DEK によって暗号化されたオブジェクトの識別子。最大サイズ: 128 バイト。

role

string

次のいずれかの値が含まれます。

  • reader: unwrap の呼び出しのみが許可されます。
  • writer: wrapunwrap の両方の呼び出しを許可するサイト

Gmail CSE の認可トークン

JSON 表現
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
フィールド
aud

string

Google が指定したオーディエンス。ローカルの設定と照合する必要があります。

email

string (UTF-8)

ユーザーのメール アドレスです。

exp

string

有効期限。

iat

string

発行時刻。

message_id

string

復号または署名が必要なメッセージの識別子 実行されます。監査目的でクライアントの理由として使用されます。

iss

string

トークン発行者。信頼できる認証発行者のセットに対して検証する必要がある。

kacls_url

string

構成済みのベース KACLS URL。中間者(PITM)攻撃の防止に使用されます。

perimeter_id

string (UTF-8)

(省略可)ドキュメントの場所に関連付けられた値。ラップ解除時にチェックする境界を選択できます。最大サイズ: 128 バイト。

resource_name

string (UTF-8)

DEK によって暗号化されたオブジェクトの識別子。最大サイズ: 512 バイト。

role

string

次のいずれかの値が含まれます。

  • decrypter: 復号できます。
  • signer: 署名できます。
spki_hash

string

アクセスされる秘密鍵の DER エンコードされた SubjectPublicKeyInfo の、標準の Base64 エンコード ダイジェスト。

spki_hash_algorithm

string

spki_hash の生成に使用されるアルゴリズム。SHA-256 が可能です。

KACLS 移行サービスの認可トークン

JSON 表現
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
フィールド
aud

string

Google が指定したオーディエンス。ローカルの設定と照合する必要があります。

email

string (UTF-8)

ユーザーのメール アドレスです。

exp

string

有効期限。

iat

string

発行時刻。

iss

string

トークン発行者。信頼できる認証発行者のセットに対して検証する必要がある。

kacls_url

string

構成済みのベース KACLS URL。中間者(PITM)攻撃の防止に使用されます。

role

string

次のいずれかの値が含まれます。

  • migrator: rewrap の呼び出しのみが許可されます。
  • verifier: digest の呼び出しのみが許可されます。