Autorisierungstokens

Inhabertoken (JWT: RFC 7516) von Google ausgestellt, um zu überprüfen, ob der Aufrufer zum Verschlüsseln oder Entschlüsseln autorisiert ist eine Ressource.

Um Missbrauch zu verhindern, sollte der Key Access Control List Service (KACLS) überprüfen, ob ist der Aufrufer autorisiert, das Objekt (Datei oder Dokument) zu verschlüsseln, bevor der Schlüssel verpackt und vor dem Entpacken des DEK entschlüsselt wird.

Autorisierungstoken für Google Docs und Clientseitige Verschlüsselung (CSE) in Drive, Kalender und Meet

JSON-Darstellung
{
  "aud": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
Felder
aud

string

Die von Google ermittelte Zielgruppe. Sollte mit der lokalen Konfiguration verglichen werden.

email

string (UTF-8)

Die E-Mail-Adresse des Nutzers.

email_type

string

Enthält einen der folgenden Werte:

  • google: Diese E-Mail-Adresse gehört zu einem Google-Konto.
  • google-visitor: Diese E-Mail-Adresse gehört nicht zu einem Google-Konto. wurde jedoch von Google per PIN bestätigt.
  • customer-idp: Diese E-Mail-Adresse gehört nicht zu einem Google-Konto. Die E-Mail-Adresse des Nutzers wurde jedoch mit einem vom Kunden konfigurierten IdP extrahiert.
  • Die Anforderung kann nicht festgelegt werden. in diesem Fall ist der Standardwert "google".
exp

string

Ablaufzeit.

iat

string

Ausstellungszeit.

iss

string

Der Tokenaussteller. Sollte mit der Gruppe vertrauenswürdiger Authentifizierungsaussteller validiert werden.

kacls_url

string

Die konfigurierte KACLS-Basis-URL, die verwendet wird, um Person-in-the-Middle-Angriffe (PITM) zu verhindern.

perimeter_id

string (UTF-8)

(Optional) Ein Wert, der mit dem Speicherort des Dokuments verknüpft ist und mit dem festgelegt werden kann, welcher Perimeter beim Entpacken geprüft wird. Maximale Größe: 128 Byte.

resource_name

string (UTF-8)

Eine Kennung für das vom DEK verschlüsselte Objekt. Maximale Größe: 128 Byte.

role

string

Enthält einen der folgenden Werte:

  • reader: darf nur unwrap aufrufen.
  • writer: darf sowohl wrap als auch unwrap aufrufen

Autorisierungstoken für die clientseitige Verschlüsselung in Gmail

JSON-Darstellung
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
Felder
aud

string

Die von Google ermittelte Zielgruppe. Sollte mit der lokalen Konfiguration verglichen werden.

email

string (UTF-8)

Die E-Mail-Adresse des Nutzers.

exp

string

Ablaufzeit.

iat

string

Ausstellungszeit.

message_id

string

Eine Kennung für die Nachricht, auf der die Entschlüsselung oder Signatur gespeichert wurde ausgeführt wird. Wird als Clientgrund für Prüfzwecke verwendet.

iss

string

Der Tokenaussteller. Sollte mit der Gruppe vertrauenswürdiger Authentifizierungsaussteller validiert werden.

kacls_url

string

Die konfigurierte KACLS-Basis-URL, die verwendet wird, um Person-in-the-Middle-Angriffe (PITM) zu verhindern.

perimeter_id

string (UTF-8)

(Optional) Ein Wert, der mit dem Speicherort des Dokuments verknüpft ist und mit dem festgelegt werden kann, welcher Perimeter beim Entpacken geprüft werden soll. Maximale Größe: 128 Byte.

resource_name

string (UTF-8)

Eine Kennung für das vom DEK verschlüsselte Objekt. Maximale Größe: 512 Byte.

role

string

Enthält einen der folgenden Werte:

  • decrypter: Kann entschlüsseln.
  • signer: Darf signieren.
spki_hash

string

Base64-codierter Standard-Digest des DER-codierten SubjectPublicKeyInfo des privaten Schlüssels, auf den zugegriffen wird.

spki_hash_algorithm

string

Zur Erstellung von spki_hash verwendeter Algorithmus. Kann SHA-256 sein.

Autorisierungstoken für den KACLS-Migrationsdienst

JSON-Darstellung
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
Felder
aud

string

Die von Google ermittelte Zielgruppe. Sollte mit der lokalen Konfiguration verglichen werden.

email

string (UTF-8)

Die E-Mail-Adresse des Nutzers.

exp

string

Ablaufzeit.

iat

string

Ausstellungszeit.

iss

string

Der Tokenaussteller. Sollte mit der Gruppe vertrauenswürdiger Authentifizierungsaussteller validiert werden.

kacls_url

string

Die konfigurierte KACLS-Basis-URL, die verwendet wird, um Person-in-the-Middle-Angriffe (PITM) zu verhindern.

role

string

Enthält einen der folgenden Werte:

  • migrator: darf nur rewrap aufrufen.
  • verifier: darf nur digest aufrufen.