Токены авторизации

Токен носителя ( JWT: RFC 7516 ), выданный Google для проверки того, что вызывающая сторона имеет право шифровать или дешифровать ресурс.

Чтобы предотвратить злоупотребления, служба списков управления доступом к ключам (KACLS) должна проверять, имеет ли вызывающая сторона право шифровать объект (файл или документ) перед упаковкой ключа и расшифровывать его перед развертыванием DEK.

Токен авторизации для Документов и Диска, Календаря и шифрования на стороне клиента Meet (CSE)

JSON-представление
{
  "aud": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
Поля
aud

string

Аудитория, определенная Google. Необходимо проверить соответствие локальной конфигурации.

email

string (UTF-8)

Адрес электронной почты пользователя.

email_type

string

Содержит одно из следующих значений:

  • google : Этот адрес электронной почты принадлежит учетной записи Google.
  • google-visitor : Это электронное письмо не принадлежит учетной записи Google, но было подтверждено PIN-кодом Google.
  • customer-idp : этот адрес электронной почты не принадлежит учетной записи Google, но адрес электронной почты пользователя был извлечен с помощью настроенного клиентом IdP.
  • Претензию можно отменить; в этом случае значением по умолчанию является «google».
exp

string

Срок годности.

iat

string

Время выдачи.

iss

string

Эмитент токена. Должен быть проверен с помощью доверенного набора издателей аутентификации.

kacls_url

string

Настроенный базовый URL-адрес KACLS, используемый для предотвращения атак «человек посередине» (PITM).

perimeter_id

string (UTF-8)

(Необязательно) Значение, привязанное к местоположению документа, которое можно использовать для выбора того, какой периметр будет проверяться при развертывании. Максимальный размер: 128 байт.

resource_name

string (UTF-8)

Идентификатор объекта, зашифрованного с помощью DEK. Максимальный размер: 128 байт.

role

string

Содержит одно из следующих значений:

  • reader : разрешен только вызов unwrap .
  • writer : Разрешено вызывать как wrap , так и unwrap

Токен авторизации для Gmail CSE

JSON-представление
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
Поля
aud

string

Аудитория, определенная Google. Необходимо проверить соответствие локальной конфигурации.

email

string (UTF-8)

Адрес электронной почты пользователя.

exp

string

Срок годности.

iat

string

Время выдачи.

message_id

string

Идентификатор сообщения, для которого выполняется расшифровка или подпись. Используется в качестве причины клиента в целях аудита.

iss

string

Эмитент токена. Должен быть проверен с помощью доверенного набора издателей аутентификации.

kacls_url

string

Настроенный базовый URL-адрес KACLS, используемый для предотвращения атак «человек посередине» (PITM).

perimeter_id

string (UTF-8)

(Необязательно) Значение, привязанное к местоположению документа, которое можно использовать для выбора того, какой периметр будет проверяться при развертывании. Максимальный размер: 128 байт.

resource_name

string (UTF-8)

Идентификатор объекта, зашифрованного с помощью DEK. Максимальный размер: 512 байт.

role

string

Содержит одно из следующих значений:

  • decrypter : может расшифровать.
  • signer : Может подписать.
spki_hash

string

Стандартный дайджест в кодировке Base64 закодированной в DER информации SubjectPublicKeyInfo закрытого ключа, к которому осуществляется доступ.

spki_hash_algorithm

string

Алгоритм, используемый для создания spki_hash . Может быть SHA-256 .

Токен авторизации для службы миграции KACLS

JSON-представление
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
Поля
aud

string

Аудитория, определенная Google. Необходимо проверить соответствие локальной конфигурации.

email

string (UTF-8)

Адрес электронной почты пользователя.

exp

string

Срок годности.

iat

string

Время выдачи.

iss

string

Эмитент токена. Должен быть проверен с помощью доверенного набора издателей аутентификации.

kacls_url

string

Настроенный базовый URL-адрес KACLS, используемый для предотвращения атак «человек посередине» (PITM).

role

string

Содержит одно из следующих значений:

  • migrator : разрешен только вызов rewrap .
  • verifier : разрешено вызывать только digest .
,

Токен носителя ( JWT: RFC 7516 ), выданный Google для проверки того, что вызывающая сторона имеет право шифровать или дешифровать ресурс.

Чтобы предотвратить злоупотребления, служба списков управления доступом к ключам (KACLS) должна проверять, имеет ли вызывающая сторона право шифровать объект (файл или документ) перед упаковкой ключа и расшифровывать его перед развертыванием DEK.

Токен авторизации для Документов и Диска, Календаря и шифрования на стороне клиента Meet (CSE)

JSON-представление
{
  "aud": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
Поля
aud

string

Аудитория, определенная Google. Необходимо проверить соответствие локальной конфигурации.

email

string (UTF-8)

Адрес электронной почты пользователя.

email_type

string

Содержит одно из следующих значений:

  • google : Этот адрес электронной почты принадлежит учетной записи Google.
  • google-visitor : Это электронное письмо не принадлежит учетной записи Google, но было подтверждено PIN-кодом Google.
  • customer-idp : этот адрес электронной почты не принадлежит учетной записи Google, но адрес электронной почты пользователя был извлечен с помощью настроенного клиентом IdP.
  • Претензию можно отменить; в этом случае значением по умолчанию является «google».
exp

string

Срок годности.

iat

string

Время выдачи.

iss

string

Эмитент токена. Должен быть проверен с помощью доверенного набора издателей аутентификации.

kacls_url

string

Настроенный базовый URL-адрес KACLS, используемый для предотвращения атак «человек посередине» (PITM).

perimeter_id

string (UTF-8)

(Необязательно) Значение, привязанное к местоположению документа, которое можно использовать для выбора того, какой периметр будет проверяться при развертывании. Максимальный размер: 128 байт.

resource_name

string (UTF-8)

Идентификатор объекта, зашифрованного с помощью DEK. Максимальный размер: 128 байт.

role

string

Содержит одно из следующих значений:

  • reader : разрешен только вызов unwrap .
  • writer : Разрешено вызывать как wrap , так и unwrap

Токен авторизации для Gmail CSE

JSON-представление
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
Поля
aud

string

Аудитория, определенная Google. Необходимо проверить соответствие локальной конфигурации.

email

string (UTF-8)

Адрес электронной почты пользователя.

exp

string

Срок годности.

iat

string

Время выдачи.

message_id

string

Идентификатор сообщения, для которого выполняется расшифровка или подпись. Используется в качестве причины клиента в целях аудита.

iss

string

Эмитент токена. Должен быть проверен с помощью доверенного набора издателей аутентификации.

kacls_url

string

Настроенный базовый URL-адрес KACLS, используемый для предотвращения атак «человек посередине» (PITM).

perimeter_id

string (UTF-8)

(Необязательно) Значение, привязанное к местоположению документа, которое можно использовать для выбора того, какой периметр будет проверяться при развертывании. Максимальный размер: 128 байт.

resource_name

string (UTF-8)

Идентификатор объекта, зашифрованного с помощью DEK. Максимальный размер: 512 байт.

role

string

Содержит одно из следующих значений:

  • decrypter : может расшифровать.
  • signer : Может подписать.
spki_hash

string

Стандартный дайджест в кодировке Base64 закодированной в DER информации SubjectPublicKeyInfo закрытого ключа, к которому осуществляется доступ.

spki_hash_algorithm

string

Алгоритм, используемый для создания spki_hash . Может быть SHA-256 .

Токен авторизации для службы миграции KACLS

JSON-представление
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
Поля
aud

string

Аудитория, определенная Google. Необходимо проверить соответствие локальной конфигурации.

email

string (UTF-8)

Адрес электронной почты пользователя.

exp

string

Срок годности.

iat

string

Время выдачи.

iss

string

Эмитент токена. Должен быть проверен с помощью доверенного набора издателей аутентификации.

kacls_url

string

Настроенный базовый URL-адрес KACLS, используемый для предотвращения атак «человек посередине» (PITM).

role

string

Содержит одно из следующих значений:

  • migrator : разрешен только вызов rewrap .
  • verifier : разрешено вызывать только digest .