Autorisierungstokens

Von Google ausgestelltes Bearer-Token (JWT: RFC 7519), um zu prüfen, ob der Aufrufer berechtigt ist, eine Ressource zu verschlüsseln oder zu entschlüsseln.

Um Missbrauch zu verhindern, sollte der Key Access Control List Service (KACLS) prüfen, ob der Aufrufer berechtigt ist, das Objekt (Datei oder Dokument) zu verschlüsseln, bevor der Schlüssel umschlossen wird, und es zu entschlüsseln, bevor der DEK entpackt wird.

Autorisierungstoken für die clientseitige Verschlüsselung (CSE) von Google Docs und Google Drive, Google Kalender und Google Meet

JSON-Darstellung 
{
  "aud": string,
  "delegated_to": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
Felder
aud

string

Die von Google identifizierte Zielgruppe. Sollte mit der lokalen Konfiguration abgeglichen werden.
delegated_to

string

Optional: Die E-Mail-Adresse des Nutzers, der berechtigt ist, auf die Ressource zuzugreifen.
email

string (UTF-8)

Die E-Mail-Adresse des Nutzers.
email_type

string

Enthält einen der folgenden Werte:

  • google: Diese E-Mail-Adresse gehört zu einem Google-Konto.
  • google-visitor: Diese E‑Mail-Adresse gehört nicht zu einem Google-Konto, wurde aber von Google per PIN-Code bestätigt.
  • customer-idp: Diese E‑Mail-Adresse gehört nicht zu einem Google-Konto, aber die E‑Mail-Adresse des Nutzers wurde über einen vom Kunden konfigurierten IdP extrahiert.
  • Der Anspruch kann nicht festgelegt werden. In diesem Fall ist der Standardwert „google“.
exp

string

Ablaufzeit.
iat

string

Ausstellungszeit.
iss

string

Der Tokenaussteller. Sollte anhand der vertrauenswürdigen Authentifizierungsstellen validiert werden.
kacls_url

string

Die konfigurierte KACLS-Basis-URL, die verwendet wird, um Person-in-the-Middle-Angriffe (PITM) zu verhindern.
perimeter_id

string (UTF-8)

(Optional) Ein Wert, der mit dem Speicherort des Dokuments verknüpft ist und mit dem ausgewählt werden kann, welcher Perimeter beim Entschlüsseln geprüft wird. Maximale Größe: 128 Byte.
resource_name

string (UTF-8)

Eine Kennung für das Objekt, das mit dem DEK verschlüsselt wurde. Maximale Größe: 128 Byte.
role

string

Enthält einen der folgenden Werte:

  • reader: Darf nur unwrap aufrufen.
  • writer: Es darf sowohl wrap als auch unwrap aufgerufen werden.

Autorisierungstoken für die clientseitige Verschlüsselung in Gmail

JSON-Darstellung 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
Felder
aud

string

Die von Google identifizierte Zielgruppe. Sollte mit der lokalen Konfiguration abgeglichen werden.
email

string (UTF-8)

Die E-Mail-Adresse des Nutzers.
exp

string

Ablaufzeit.
iat

string

Ausstellungszeit.
message_id

string

Eine Kennung für die Nachricht, für die die Entschlüsselung oder Signierung durchgeführt wird. Wird als Grund für die Prüfung durch den Kunden verwendet.
iss

string

Der Tokenaussteller. Sollte anhand der vertrauenswürdigen Gruppe von Authentifizierungsstellern validiert werden.
kacls_url

string

Die konfigurierte KACLS-Basis-URL, die verwendet wird, um Person-in-the-Middle-Angriffe (PITM) zu verhindern.
perimeter_id

string (UTF-8)

(Optional) Ein Wert, der mit dem Speicherort des Dokuments verknüpft ist und mit dem ausgewählt werden kann, welcher Perimeter beim Entschlüsseln geprüft wird. Maximale Größe: 128 Byte.
resource_name

string (UTF-8)

Eine Kennung für das Objekt, das mit dem DEK verschlüsselt wurde. Maximale Größe: 512 Byte.
role

string

Enthält einen der folgenden Werte:

  • decrypter: Kann entschlüsseln.
  • signer: Kann signieren.
spki_hash

string

Standardmäßig base64-codierter Digest der DER-codierten SubjectPublicKeyInfo des privaten Schlüssels, auf den zugegriffen wird.
spki_hash_algorithm

string

Algorithmus, der zum Erstellen von spki_hash verwendet wurde. Kann SHA-256 sein.

Autorisierungstoken für den KACLS-Migrationsdienst

JSON-Darstellung 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
Felder
aud

string

Die von Google identifizierte Zielgruppe. Sollte mit der lokalen Konfiguration abgeglichen werden.
email

string (UTF-8)

Die E-Mail-Adresse des Nutzers.
exp

string

Ablaufzeit.
iat

string

Ausstellungszeit.
iss

string

Der Tokenaussteller. Sollte anhand der vertrauenswürdigen Authentifizierungsstellen validiert werden.
kacls_url

string

Die konfigurierte KACLS-Basis-URL, die verwendet wird, um Person-in-the-Middle-Angriffe (PITM) zu verhindern.
role

string

Enthält einen der folgenden Werte:

  • migrator: Darf nur rewrap aufrufen.
  • verifier: Darf nur digest aufrufen.