Jetons d'autorisation

Jeton porteur (JWT: RFC 7516) émis par Google pour vérifier que l'appelant est autorisé à chiffrer ou à déchiffrer une ressource.

Pour éviter tout abus, le service KACLS (Key Access Control List Service) doit vérifier que l'appelant est autorisé à chiffrer l'objet (fichier ou document) avant d'encapsuler la clé et à le déchiffrer avant de la déballer.

Jeton d'autorisation pour le chiffrement côté client (CSE) de Docs et Drive, de l'agenda et de Meet

Représentation JSON
{
  "aud": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
Champs
aud

string

Audience, telle que définie par Google Doit être comparé à la configuration locale.

email

string (UTF-8)

Adresse e-mail de l'utilisateur.

email_type

string

Contient l'une des valeurs suivantes:

  • google: cette adresse e-mail appartient à un compte Google.
  • google-visitor: cette adresse e-mail n'appartient pas à un compte Google, mais a été validée par Google à l'aide d'un code.
  • customer-idp: cette adresse e-mail n'appartient pas à un compte Google, mais l'adresse e-mail de l'utilisateur a été extraite à l'aide d'un fournisseur d'identité configuré par le client.
  • La revendication peut ne pas être définie. Dans ce cas, la valeur par défaut est "google".
exp

string

Date d'expiration.

iat

string

Heure d'émission.

iss

string

Émetteur de jeton. Doit être validé par rapport à l'ensemble approuvé des émetteurs d'authentification.

kacls_url

string

URL KACLS de base configurée, utilisée pour empêcher les attaques de l'intercepteur.

perimeter_id

string (UTF-8)

(Facultatif) Valeur associée à l'emplacement du document qui permet de choisir le périmètre à vérifier lors du désemballage. Taille maximale: 128 octets.

resource_name

string (UTF-8)

Identifiant de l'objet chiffré par la clé DEK. Taille maximale: 128 octets.

role

string

Contient l'une des valeurs suivantes:

  • reader: autorisé à appeler unwrap uniquement.
  • writer: autorisé à appeler à la fois wrap et unwrap

Jeton d'autorisation pour le CSE Gmail

Représentation JSON
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
Champs
aud

string

Audience, telle que définie par Google Doit être comparé à la configuration locale.

email

string (UTF-8)

Adresse e-mail de l'utilisateur.

exp

string

Date d'expiration.

iat

string

Heure d'émission.

message_id

string

Identifiant du message sur lequel le déchiffrement ou la signature est effectué. Utilisé comme motif client à des fins d'audit.

iss

string

Émetteur de jeton. Doit être validé par rapport à l'ensemble approuvé des émetteurs d'authentification.

kacls_url

string

URL KACLS de base configurée, utilisée pour empêcher les attaques de l'intercepteur.

perimeter_id

string (UTF-8)

(Facultatif) Valeur associée à l'emplacement du document qui permet de choisir le périmètre à vérifier lors du désemballage. Taille maximale: 128 octets.

resource_name

string (UTF-8)

Identifiant de l'objet chiffré par la clé DEK. Taille maximale: 512 octets.

role

string

Contient l'une des valeurs suivantes:

  • decrypter: peut déchiffrer.
  • signer: peut signer.
spki_hash

string

Récapitulatif standard encodé en base64 de l'SubjectPublicKeyInfo encodé au format DER de la clé privée à laquelle on accède.

spki_hash_algorithm

string

Algorithme utilisé pour générer spki_hash. Valeurs autorisées : SHA-256.

Jeton d'autorisation pour le service de migration KACLS

Représentation JSON
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
Champs
aud

string

Audience, telle que définie par Google Doit être comparé à la configuration locale.

email

string (UTF-8)

Adresse e-mail de l'utilisateur.

exp

string

Date d'expiration.

iat

string

Heure d'émission.

iss

string

Émetteur de jeton. Doit être validé par rapport à l'ensemble approuvé des émetteurs d'authentification.

kacls_url

string

URL KACLS de base configurée, utilisée pour empêcher les attaques de l'intercepteur.

role

string

Contient l'une des valeurs suivantes:

  • migrator: autorisé à appeler rewrap uniquement.
  • verifier: autorisé à appeler digest uniquement.