Tokeny autoryzacji

token tożsamości (JWT: RFC 7516) wydany przez Google w celu potwierdzenia, że wywołujący ma uprawnienia do szyfrowania lub odszyfrowywania zasobu.

Aby zapobiec nadużyciom, usługa listy kontroli dostępu do kluczy (KACLS) powinna sprawdzić, czy wywołujący ma uprawnienia do zaszyfrowania obiektu (pliku lub dokumentu) przed zaszyfrowaniem klucza i odszyfrowaniem go przed rozpakowaniem DEK.

Token autoryzacji dla szyfrowania po stronie klienta w Dokumentach i Dysku, Kalendarzu i Meet

Zapis JSON
{
  "aud": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
Pola
aud

string

Lista odbiorców zidentyfikowana przez Google. Należy sprawdzić, czy jest zgodna z konfiguracją lokalną.

email

string (UTF-8)

Adres e-mail użytkownika.

email_type

string

zawiera jedną z tych wartości:

  • google: ten adres e-mail należy do konta Google.
  • google-visitor: ten adres e-mail nie należy do konta Google, ale został zweryfikowany przez Google za pomocą kodu PIN.
  • customer-idp: ten adres e-mail nie należy do konta Google, ale adres e-mail użytkownika został wyodrębniony za pomocą dostawcy tożsamości skonfigurowanego przez klienta.
  • Można go nie ustawiać. W takim przypadku wartością domyślną jest „google”.
exp

string

Czas ważności.

iat

string

Czas wydania.

iss

string

Wydawca tokenów. Powinien być zweryfikowany przez zaufany zestaw wystawców uwierzytelnień.

kacls_url

string

Skonfigurowany podstawowy adres URL KACLS, który służy do zapobiegania atakom typu „człowiek w środku” (PITM).

perimeter_id

string (UTF-8)

(Opcjonalnie) Wartość powiązana z lokalizacją dokumentu, która może służyć do wyboru, który obszar ma być sprawdzany podczas rozpakowywania. Maksymalny rozmiar: 128 bajtów.

resource_name

string (UTF-8)

Identyfikator obiektu zaszyfrowanego za pomocą klucza DEK. Maksymalny rozmiar: 128 bajtów.

role

string

zawiera jedną z tych wartości:

  • reader: zezwalanie na wywoływanie tylko funkcji unwrap.
  • writer: dozwolone wywoływanie zarówno wrap, jak i unwrap

Token autoryzacji dla szyfrowania po stronie klienta w Gmailu

Zapis JSON
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
Pola
aud

string

Lista odbiorców zidentyfikowana przez Google. Należy sprawdzić, czy jest zgodna z konfiguracją lokalną.

email

string (UTF-8)

Adres e-mail użytkownika.

exp

string

Czas ważności.

iat

string

Czas wydania.

message_id

string

Identyfikator wiadomości, w której przypadku wykonywane jest odszyfrowywanie lub podpisywanie. Służy jako powód klienta do celów audytu.

iss

string

Wydawca tokenów. Powinien być zweryfikowany przez zaufany zestaw wystawców uwierzytelnień.

kacls_url

string

Skonfigurowany podstawowy adres URL KACLS, który służy do zapobiegania atakom typu „człowiek w środku” (PITM).

perimeter_id

string (UTF-8)

(Opcjonalnie) Wartość powiązana z lokalizacją dokumentu, która może służyć do wyboru, który obwód ma być sprawdzany podczas rozpakowywania. Maksymalny rozmiar: 128 bajtów.

resource_name

string (UTF-8)

Identyfikator obiektu zaszyfrowanego za pomocą klucza DEK. Maksymalny rozmiar: 512 bajtów.

role

string

zawiera jedną z tych wartości:

  • decrypter: można odszyfrować.
  • signer: można podpisać.
spki_hash

string

Standardowy skrót zakodowany w formacie base64 SubjectPublicKeyInfo klucza prywatnego, do którego uzyskuje się dostęp.

spki_hash_algorithm

string

Algorytm użyty do wygenerowania spki_hash. Może to być SHA-256.

Token autoryzacyjny usługi migracji KACLS

Zapis JSON
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
Pola
aud

string

Lista odbiorców zidentyfikowana przez Google. Należy sprawdzić, czy jest zgodna z konfiguracją lokalną.

email

string (UTF-8)

Adres e-mail użytkownika.

exp

string

Czas ważności.

iat

string

Czas wydania.

iss

string

Wydawca tokenów. Powinien być zweryfikowany przez zaufany zestaw wystawców uwierzytelnień.

kacls_url

string

Skonfigurowany podstawowy adres URL KACLS, który służy do zapobiegania atakom typu „człowiek w środku” (PITM).

role

string

zawiera jedną z tych wartości:

  • migrator: zezwalanie na wywoływanie tylko funkcji rewrap.
  • verifier: zezwalanie na wywoływanie tylko funkcji digest.