Cette page a été traduite par l'API Cloud Translation.

Jetons d'autorisation

Jeton de support (JWT: RFC 7516) émis par Google pour vérifier que l'appelant est autorisé à chiffrer ou déchiffrer une ressource.

Pour éviter toute utilisation abusive, le service de liste de contrôle d'accès aux clés (KACLS) doit vérifier que l'appelant est autorisé à chiffrer l'objet (fichier ou document) avant encapsuler la clé et la déchiffrer avant de désencapsuler la DEK.

Jeton d'autorisation pour Docs et Chiffrement côté client (CSE) pour Drive, Agenda et Meet

Représentation JSON
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string }

Champs
`aud`	`string` L'audience, telle qu'elle est identifiée par Google. Doit être vérifié par rapport à la configuration locale.
`email`	`string (UTF-8)` Adresse e-mail de l'utilisateur.
`email_type`	`string` Contient l'une des valeurs suivantes: `google`: cette adresse e-mail appartient à un compte Google. `google-visitor`: Cette adresse e-mail n'appartient pas à un compte Google. alors que le code PIN a été vérifié par Google. `customer-idp`: Cette adresse e-mail n'appartient pas à un compte Google. mais l'adresse e-mail de l'utilisateur a été extraite à l'aide d'un IdP configuré par le client. La revendication peut être annulée. Dans ce cas, la valeur par défaut est "google".
`exp`	`string` Délai d'expiration.
`iat`	`string` Heure d'émission.
`iss`	`string` Émetteur de jeton. Elle doit être validée par rapport à l'ensemble d'émetteurs d'authentification approuvés.
`kacls_url`	`string` URL KACLS de base configurée, qui permet d'empêcher les attaques de type "person-in-the-middle" (PITM).
`perimeter_id`	`string (UTF-8)` (Facultatif) Valeur liée à l'emplacement du document, qui peut être utilisée pour choisir le périmètre à vérifier lors de la désencapsulation. Taille maximale: 128 octets.
`resource_name`	`string (UTF-8)` Identifiant de l'objet chiffré par la DEK. Taille maximale: 128 octets.
`role`	`string` Contient l'une des valeurs suivantes: `reader`: autorisé à appeler `unwrap` uniquement. `writer`: autorisé à appeler à la fois `wrap` et `unwrap`

Jeton d'autorisation pour le CSE Gmail

Représentation JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string }

Représentation JSON

{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}

Champs
`aud`	`string` L'audience, telle qu'elle est identifiée par Google. Doit être vérifié par rapport à la configuration locale.
`email`	`string (UTF-8)` Adresse e-mail de l'utilisateur.
`exp`	`string` Délai d'expiration.
`iat`	`string` Heure d'émission.
`message_id`	`string` Identifiant du message sur lequel le déchiffrement ou la signature est effectuée. Utilisé comme motif client à des fins d'audit.
`iss`	`string` Émetteur de jeton. Elle doit être validée par rapport à l'ensemble d'émetteurs d'authentification approuvés.
`kacls_url`	`string` URL KACLS de base configurée, qui permet d'empêcher les attaques de type "person-in-the-middle" (PITM).
`perimeter_id`	`string (UTF-8)` (Facultatif) Valeur liée à l'emplacement du document, qui peut être utilisée pour choisir le périmètre à vérifier lors de la désencapsulation. Taille maximale: 128 octets.
`resource_name`	`string (UTF-8)` Identifiant de l'objet chiffré par la DEK. Taille maximale: 512 octets.
`role`	`string` Contient l'une des valeurs suivantes: `decrypter`: peut déchiffrer le fichier. `signer`: peut signer.
`spki_hash`	`string` Condensé standard encodé en base64 de la `SubjectPublicKeyInfo` encodée au format DER de la clé privée en cours d'accès.
`spki_hash_algorithm`	`string` Algorithme utilisé pour produire `spki_hash`. Valeurs autorisées : `SHA-256`.

Jeton d'autorisation pour le service de migration KACLS

Représentation JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string }

Champs
`aud`	`string` L'audience, telle qu'elle est identifiée par Google. Doit être vérifié par rapport à la configuration locale.
`email`	`string (UTF-8)` Adresse e-mail de l'utilisateur.
`exp`	`string` Délai d'expiration.
`iat`	`string` Heure d'émission.
`iss`	`string` Émetteur de jeton. Elle doit être validée par rapport à l'ensemble d'émetteurs d'authentification approuvés.
`kacls_url`	`string` URL KACLS de base configurée, qui permet d'empêcher les attaques de type "person-in-the-middle" (PITM).
`role`	`string` Contient l'une des valeurs suivantes: `migrator`: autorisé à appeler `rewrap` uniquement. `verifier`: autorisé à appeler `digest` uniquement.