Jeton de support (JWT: RFC 7516) émis par Google pour vérifier que l'appelant est autorisé à chiffrer ou à déchiffrer une ressource.
Pour éviter les abus, le service de liste de contrôle d'accès aux clés (KACLS) doit vérifier que l'appelant est autorisé à chiffrer l'objet (fichier ou document) avant d'encapsuler la clé et à la déchiffrer avant de désencapsuler la clé DEK.
Jeton d'autorisation pour Docs et Drive, Agenda et le chiffrement côté client (CSE) Meet
Représentation JSON | |
---|---|
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
Champs | |
---|---|
aud |
Audience, telle qu'identifiée par Google. Doit être vérifié par rapport à la configuration locale. |
email |
Adresse e-mail de l'utilisateur. |
email_type |
Contient l'une des valeurs suivantes:
|
exp |
Délai d'expiration. |
iat |
Heure d'émission. |
iss |
Émetteur de jeton. Doit être validé par rapport à l'ensemble d'émetteurs d'authentification de confiance. |
kacls_url |
URL KACLS de base configurée, utilisée pour empêcher les attaques PITM (person-in-the-middle). |
perimeter_id |
(Facultatif) Valeur liée à l'emplacement du document qui peut être utilisée pour choisir le périmètre à vérifier lors de la désencapsulation. Taille maximale: 128 octets. |
resource_name |
Identifiant de l'objet chiffré par la clé DEK. Taille maximale: 128 octets. |
role |
Contient l'une des valeurs suivantes: |
Jeton d'autorisation pour le CSE Gmail
Représentation JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
Champs | |
---|---|
aud |
Audience, telle qu'identifiée par Google. Doit être vérifié par rapport à la configuration locale. |
email |
Adresse e-mail de l'utilisateur. |
exp |
Délai d'expiration. |
iat |
Heure d'émission. |
message_id |
Identifiant du message sur lequel le déchiffrement ou la signature est effectué. Utilisé comme motif du client à des fins d'audit. |
iss |
Émetteur de jeton. Doit être validé par rapport à l'ensemble d'émetteurs d'authentification de confiance. |
kacls_url |
URL KACLS de base configurée, utilisée pour empêcher les attaques PITM (person-in-the-middle). |
perimeter_id |
(Facultatif) Valeur liée à l'emplacement du document qui peut être utilisée pour choisir le périmètre à vérifier lors de la désencapsulation. Taille maximale: 128 octets. |
resource_name |
Identifiant de l'objet chiffré par la clé DEK. Taille maximale: 512 octets. |
role |
Contient l'une des valeurs suivantes:
|
spki_hash |
Condensé standard en base64 du |
spki_hash_algorithm |
Algorithme utilisé pour produire |
Jeton d'autorisation pour le service de migration KACLS
Représentation JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
Champs | |
---|---|
aud |
Audience, telle qu'identifiée par Google. Doit être vérifié par rapport à la configuration locale. |
email |
Adresse e-mail de l'utilisateur. |
exp |
Délai d'expiration. |
iat |
Heure d'émission. |
iss |
Émetteur de jeton. Doit être validé par rapport à l'ensemble d'émetteurs d'authentification de confiance. |
kacls_url |
URL KACLS de base configurée, utilisée pour empêcher les attaques PITM (person-in-the-middle). |
role |
Contient l'une des valeurs suivantes: |