Tokeny autoryzacji

Token okaziciela (JWT: RFC 7519) wydany przez Google w celu sprawdzenia, czy dzwoniący ma uprawnienia do szyfrowania lub odszyfrowywania zasobu.

Aby zapobiec nadużyciom, usługa listy kontroli dostępu do kluczy (KACLS) powinna sprawdzać, czy wywołujący ma uprawnienia do zaszyfrowania obiektu (pliku lub dokumentu) przed opakowaniem klucza i do odszyfrowania go przed rozpakowaniem klucza DEK.

Token autoryzacji szyfrowania po stronie klienta w Dokumentach i na Dysku Google, w Kalendarzu Google i Google Meet

Zapis JSON
{ "aud": string, "delegated_to": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string }

Zapis JSON

{
  "aud": string,
  "delegated_to": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}

Pola
`aud`	`string` Odbiorcy zidentyfikowani przez Google. Należy sprawdzić, czy jest zgodna z lokalną konfiguracją.
`delegated_to`	`string` (Opcjonalnie) Adres e-mail użytkownika, który ma uprawnienia dostępu do zasobu.
`email`	`string (UTF-8)` Adres e-mail użytkownika.
`email_type`	`string` Zawiera jedną z tych wartości: `google`: ten adres e-mail należy do konta Google. `google-visitor`: ten adres e-mail nie należy do konta Google, ale został zweryfikowany przez Google za pomocą kodu PIN. `customer-idp`: ten adres e-mail nie należy do konta Google, ale został wyodrębniony z użyciem dostawcy tożsamości skonfigurowanego przez klienta. Roszczenie może być nieustawione. W takim przypadku wartością domyślną jest `google`.
`exp`	`string` Data ważności.
`iat`	`string` Czas wydania.
`iss`	`string` Wystawca tokena. Powinny być weryfikowane na podstawie zaufanego zestawu wystawców uwierzytelniania.
`kacls_url`	`string` Skonfigurowany podstawowy adres URL KACLS, który służy do zapobiegania atakom typu „man-in-the-middle” (MITM).
`perimeter_id`	`string (UTF-8)` (Opcjonalnie) Wartość powiązana z lokalizacją dokumentu, która może być używana do wybierania obwodu sprawdzanego podczas rozpakowywania. Maksymalny rozmiar: 128 bajtów.
`resource_name`	`string (UTF-8)` Identyfikator obiektu zaszyfrowany za pomocą klucza DEK. Maksymalny rozmiar: 128 bajtów.
`role`	`string` Zawiera jedną z tych wartości: `reader`: może dzwonić tylko pod numer `unwrap`. `writer`: może dzwonić zarówno pod numer `wrap`, jak i `unwrap`.

Token autoryzacji dla szyfrowania po stronie klienta w Gmailu

Zapis JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string }

Zapis JSON

{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}

Pola
`aud`	`string` Odbiorcy zidentyfikowani przez Google. Należy sprawdzić, czy jest zgodna z lokalną konfiguracją.
`email`	`string (UTF-8)` Adres e-mail użytkownika.
`exp`	`string` Data ważności.
`iat`	`string` Czas wydania.
`message_id`	`string` Identyfikator wiadomości, na której przeprowadzane jest odszyfrowywanie lub podpisywanie. Używane jako powód klienta do przeprowadzenia audytu.
`iss`	`string` Wystawca tokena. Powinny być weryfikowane na podstawie zaufanego zestawu wystawców uwierzytelniania.
`kacls_url`	`string` Skonfigurowany podstawowy adres URL KACLS, który służy do zapobiegania atakom typu „man-in-the-middle” (MITM).
`perimeter_id`	`string (UTF-8)` (Opcjonalnie) Wartość powiązana z lokalizacją dokumentu, która może być używana do wybierania obwodu sprawdzanego podczas odszyfrowywania. Maksymalny rozmiar: 128 bajtów.
`resource_name`	`string (UTF-8)` Identyfikator obiektu zaszyfrowany za pomocą klucza DEK. Maksymalny rozmiar: 512 bajtów.
`role`	`string` Zawiera jedną z tych wartości: `decrypter`: można odszyfrować. `signer`: może podpisać.
`spki_hash`	`string` Standardowy skrót zakodowany w formacie Base64 z kodowaniem DER`SubjectPublicKeyInfo` klucza prywatnego, do którego uzyskiwany jest dostęp.
`spki_hash_algorithm`	`string` Algorytm użyty do wygenerowania wartości `spki_hash`. Może to być `SHA-256`.

Token autoryzacyjny usługi migracji KACLS

Zapis JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string }

Pola
`aud`	`string` Odbiorcy zidentyfikowani przez Google. Należy sprawdzić, czy jest zgodna z lokalną konfiguracją.
`email`	`string (UTF-8)` Adres e-mail użytkownika.
`exp`	`string` Data ważności.
`iat`	`string` Czas wydania.
`iss`	`string` Wystawca tokena. Powinny być weryfikowane na podstawie zaufanego zestawu wystawców uwierzytelniania.
`kacls_url`	`string` Skonfigurowany podstawowy adres URL KACLS, który służy do zapobiegania atakom typu „man-in-the-middle” (MITM).
`role`	`string` Zawiera jedną z tych wartości: `migrator`: może dzwonić tylko pod numer `rewrap`. `verifier`: może dzwonić tylko pod numer `digest`.

Tokeny autoryzacji Zadbaj o dobrą organizację dzięki kolekcji Zapisuj i kategoryzuj treści zgodnie ze swoimi preferencjami.

Token autoryzacji szyfrowania po stronie klienta w Dokumentach i na Dysku Google, w Kalendarzu Google i Google Meet

Token autoryzacji dla szyfrowania po stronie klienta w Gmailu

Token autoryzacyjny usługi migracji KACLS

Tokeny autoryzacji