Se usó la API de Cloud Translation para traducir esta página.

Tokens de autorización

Token de portador (JWT: RFC 7516) emitido por Google para verificar que el llamador está autorizado a encriptar o desencriptar un recurso.

Para evitar abusos, el Servicio de lista de control de acceso a claves (KACLS) debe verificar que el llamador esté autorizado para encriptar el objeto (archivo o documento) antes de encapsular la clave y para desencriptarlo antes de desencapsular la DEK.

Token de autorización para la encriptación del cliente (CSE) de Documentos y Drive, Calendario y Meet

Representación JSON
{ "aud": string, "delegated_to": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string }

Representación JSON

{
  "aud": string,
  "delegated_to": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}

Campos
`aud`	`string` Es el público, según la identificación de Google. Se debe verificar con la configuración local.
`delegated_to`	`string` (Opcional) Dirección de correo electrónico del usuario autorizado para acceder al recurso.
`email`	`string (UTF-8)` La dirección de correo electrónico del usuario.
`email_type`	`string` Contiene uno de los siguientes valores: `google`: Este correo electrónico pertenece a una Cuenta de Google. `google-visitor`: Este correo electrónico no pertenece a una Cuenta de Google, pero Google lo verificó con un código PIN. `customer-idp`: Este correo electrónico no pertenece a una Cuenta de Google, pero se extrajo el correo electrónico del usuario con un IdP configurado por el cliente. El reclamo se puede anular. En ese caso, el valor predeterminado es "google".
`exp`	`string` Es la hora de vencimiento.
`iat`	`string` Es la fecha y hora de emisión.
`iss`	`string` El emisor del token. Se debe validar con el conjunto de emisores de autenticación de confianza.
`kacls_url`	`string` Es la URL base de KACLS configurada, que se usa para evitar ataques de intermediario (PITM).
`perimeter_id`	`string (UTF-8)` Es un valor vinculado a la ubicación del documento que se puede usar para elegir qué perímetro se verificará al desencapsular (opcional). Tamaño máximo: 128 bytes.
`resource_name`	`string (UTF-8)` Es un identificador del objeto encriptado por la DEK. Tamaño máximo: 128 bytes.
`role`	`string` Contiene uno de los siguientes valores: `reader`: Solo se permite llamar a `unwrap`. `writer`: Se permite llamar a `wrap` y `unwrap`.

Token de autorización para el CSE de Gmail

Representación JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string }

Representación JSON

{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}

Campos
`aud`	`string` Es el público, según la identificación de Google. Se debe verificar con la configuración local.
`email`	`string (UTF-8)` La dirección de correo electrónico del usuario.
`exp`	`string` Es la hora de vencimiento.
`iat`	`string` Es la fecha y hora de emisión.
`message_id`	`string` Es un identificador del mensaje en el que se realiza la firma o el descifrado. Se usa como motivo del cliente para fines de auditoría.
`iss`	`string` El emisor del token. Se debe validar con el conjunto de emisores de autenticación de confianza.
`kacls_url`	`string` Es la URL base de KACLS configurada, que se usa para evitar ataques de intermediario (PITM).
`perimeter_id`	`string (UTF-8)` (Opcional) Es un valor vinculado a la ubicación del documento que se puede usar para elegir qué perímetro se verifica cuando se desencapsula. Tamaño máximo: 128 bytes.
`resource_name`	`string (UTF-8)` Es un identificador del objeto encriptado por la DEK. El tamaño máximo es de 512 bytes.
`role`	`string` Contiene uno de los siguientes valores: `decrypter`: Puede desencriptar. `signer`: Puede firmar.
`spki_hash`	`string` Es el resumen codificado en Base64 estándar del `SubjectPublicKeyInfo` codificado en DER de la clave privada a la que se accede.
`spki_hash_algorithm`	`string` Es el algoritmo que se usa para producir `spki_hash`. Puede ser `SHA-256`.

Token de autorización para el servicio de migración de KACLS

Representación JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string }

Campos
`aud`	`string` Es el público, según la identificación de Google. Se debe verificar con la configuración local.
`email`	`string (UTF-8)` La dirección de correo electrónico del usuario.
`exp`	`string` Es la hora de vencimiento.
`iat`	`string` Es la fecha y hora de emisión.
`iss`	`string` El emisor del token. Se debe validar con el conjunto de emisores de autenticación de confianza.
`kacls_url`	`string` Es la URL base de KACLS configurada, que se usa para evitar ataques de intermediario (PITM).
`role`	`string` Contiene uno de los siguientes valores: `migrator`: Solo se permite llamar a `rewrap`. `verifier`: Solo se permite llamar a `digest`.

Tokens de autorización Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Token de autorización para la encriptación del cliente (CSE) de Documentos y Drive, Calendario y Meet

Token de autorización para el CSE de Gmail

Token de autorización para el servicio de migración de KACLS

Tokens de autorización