Autorisierungstokens

Bearer-Token (JWT: RFC 7519), das von Google ausgestellt wurde, um zu bestätigen, dass der Aufrufer berechtigt ist, eine Ressource zu verschlüsseln oder zu entschlüsseln.

Um Missbrauch zu verhindern, sollte der Key Access Control List Service (KACLS) prüfen, ob der Aufrufer berechtigt ist, das Objekt (Datei oder Dokument) zu verschlüsseln, bevor der Schlüssel umschlossen wird, und es zu entschlüsseln, bevor der DEK umschlossen wird.

Autorisierungstoken für die clientseitige Verschlüsselung (CSE) in Google Docs und Google Drive, Google Kalender und Google Meet

JSON-Darstellung 
{
  "aud": string,
  "delegated_to": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
Felder
aud

string

Die Zielgruppe, wie von Google identifiziert. Sollte mit der lokalen Konfiguration verglichen werden.
delegated_to

string

(Optional) Die E-Mail-Adresse des Nutzers, der berechtigt ist, auf die Ressource zuzugreifen.
email

string (UTF-8)

Die E-Mail-Adresse des Nutzers.
email_type

string

Enthält einen der folgenden Werte:

  • google: Diese E-Mail-Adresse gehört zu einem Google Konto.
  • google-visitor: Diese E-Mail-Adresse gehört nicht zu einem Google-Konto, wurde aber von Google per PIN-Code bestätigt.
  • customer-idp: Diese E-Mail-Adresse gehört nicht zu einem Google-Konto, wurde aber über einen vom Kunden konfigurierten IdP extrahiert.
  • Die Anspruch kann nicht festgelegt werden. In diesem Fall ist der Standardwert `google`.
exp

string

Ablaufzeit.
iat

string

Ausstellungszeit.
iss

string

Der Tokenaussteller. Sollte mit der vertrauenswürdigen Gruppe von Authentifizierungsausstellern verglichen werden.
kacls_url

string

Die konfigurierte KACLS-Basis-URL, die verwendet wird, um Person-in-the-Middle-Angriffe (PITM) zu verhindern.
perimeter_id

string (UTF-8)

(Optional) Ein Wert, der mit dem Speicherort des Dokuments verknüpft ist und mit dem ausgewählt werden kann , welcher Perimeter beim Entschlüsseln geprüft wird. Maximale Größe: 128 Byte.
resource_name

string (UTF-8)

Eine Kennung für das Objekt, das mit dem DEK verschlüsselt wurde. Maximale Größe: 128 Byte.
role

string

Enthält einen der folgenden Werte:

  • reader: Darf nur unwrap aufrufen.
  • writer: Darf sowohl wrap als auch unwrap aufrufen.

Autorisierungstoken für die clientseitige Verschlüsselung in Gmail

JSON-Darstellung 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
Felder
aud

string

Die Zielgruppe, wie von Google identifiziert. Sollte mit der lokalen Konfiguration verglichen werden.
email

string (UTF-8)

Die E-Mail-Adresse des Nutzers.
exp

string

Ablaufzeit.
iat

string

Ausstellungszeit.
message_id

string

Eine Kennung für die Nachricht, für die die Entschlüsselung oder Signierung ausgeführt wird. Wird als Clientgrund für Prüfzwecke verwendet.
iss

string

Der Tokenaussteller. Sollte mit der vertrauenswürdigen Gruppe von Authentifizierungsausstellern verglichen werden.
kacls_url

string

Die konfigurierte KACLS-Basis-URL, die verwendet wird, um Person-in-the-Middle-Angriffe (PITM) zu verhindern.
perimeter_id

string (UTF-8)

(Optional) Ein Wert, der mit dem Speicherort des Dokuments verknüpft ist und mit dem ausgewählt werden kann, welcher Perimeter beim Entschlüsseln geprüft wird. Maximale Größe: 128 Byte.
resource_name

string (UTF-8)

Eine Kennung für das Objekt, das mit dem DEK verschlüsselt wurde. Maximale Größe: 512 Byte.
role

string

Enthält einen der folgenden Werte:

  • decrypter: Kann entschlüsseln.
  • signer: Kann signieren.
spki_hash

string

Standard-Base64-codierter Digest von SubjectPublicKeyInfo des privaten Schlüssels in DER-Codierung, auf den zugegriffen wird.
spki_hash_algorithm

string

Algorithmus, der zum Erstellen von spki_hash verwendet wird. Kann SHA-256 sein.

Autorisierungstoken für den KACLS-Migrationsdienst

JSON-Darstellung 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
Felder
aud

string

Die Zielgruppe, wie von Google identifiziert. Sollte mit der lokalen Konfiguration verglichen werden.
email

string (UTF-8)

Die E-Mail-Adresse des Nutzers.
exp

string

Ablaufzeit.
iat

string

Ausstellungszeit.
iss

string

Der Tokenaussteller. Sollte mit der vertrauenswürdigen Gruppe von Authentifizierungsausstellern verglichen werden.
kacls_url

string

Die konfigurierte KACLS-Basis-URL, die verwendet wird, um Person-in-the-Middle-Angriffe (PITM) zu verhindern.
role

string

Enthält einen der folgenden Werte:

  • migrator: Darf nur rewrap aufrufen.
  • verifier: Darf nur digest aufrufen.