Jeton porteur (JWT: RFC 7516) émis par Google pour vérifier que l'appelant est autorisé à chiffrer ou à déchiffrer une ressource.
Pour éviter tout abus, le service KACLS (Key Access Control List Service) doit vérifier que l'appelant est autorisé à chiffrer l'objet (fichier ou document) avant d'encapsuler la clé et à le déchiffrer avant de la déballer.
Jeton d'autorisation pour le chiffrement côté client (CSE) de Docs et Drive, de l'agenda et de Meet
Représentation JSON | |
---|---|
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
Champs | |
---|---|
aud |
Audience, telle que définie par Google Doit être comparé à la configuration locale. |
email |
Adresse e-mail de l'utilisateur. |
email_type |
Contient l'une des valeurs suivantes:
|
exp |
Date d'expiration. |
iat |
Heure d'émission. |
iss |
Émetteur de jeton. Doit être validé par rapport à l'ensemble approuvé des émetteurs d'authentification. |
kacls_url |
URL KACLS de base configurée, utilisée pour empêcher les attaques de l'intercepteur. |
perimeter_id |
(Facultatif) Valeur associée à l'emplacement du document qui permet de choisir le périmètre à vérifier lors du désemballage. Taille maximale: 128 octets. |
resource_name |
Identifiant de l'objet chiffré par la clé DEK. Taille maximale: 128 octets. |
role |
Contient l'une des valeurs suivantes: |
Jeton d'autorisation pour le CSE Gmail
Représentation JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
Champs | |
---|---|
aud |
Audience, telle que définie par Google Doit être comparé à la configuration locale. |
email |
Adresse e-mail de l'utilisateur. |
exp |
Date d'expiration. |
iat |
Heure d'émission. |
message_id |
Identifiant du message sur lequel le déchiffrement ou la signature est effectué. Utilisé comme motif client à des fins d'audit. |
iss |
Émetteur de jeton. Doit être validé par rapport à l'ensemble approuvé des émetteurs d'authentification. |
kacls_url |
URL KACLS de base configurée, utilisée pour empêcher les attaques de l'intercepteur. |
perimeter_id |
(Facultatif) Valeur associée à l'emplacement du document qui permet de choisir le périmètre à vérifier lors du désemballage. Taille maximale: 128 octets. |
resource_name |
Identifiant de l'objet chiffré par la clé DEK. Taille maximale: 512 octets. |
role |
Contient l'une des valeurs suivantes:
|
spki_hash |
Récapitulatif standard encodé en base64 de l' |
spki_hash_algorithm |
Algorithme utilisé pour générer |
Jeton d'autorisation pour le service de migration KACLS
Représentation JSON | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
Champs | |
---|---|
aud |
Audience, telle que définie par Google Doit être comparé à la configuration locale. |
email |
Adresse e-mail de l'utilisateur. |
exp |
Date d'expiration. |
iat |
Heure d'émission. |
iss |
Émetteur de jeton. Doit être validé par rapport à l'ensemble approuvé des émetteurs d'authentification. |
kacls_url |
URL KACLS de base configurée, utilisée pour empêcher les attaques de l'intercepteur. |
role |
Contient l'une des valeurs suivantes: |