אסימוני הרשאה

אסימון Bearer‏ (JWT: RFC 7516) שהונפק על ידי Google כדי לאמת שהמתקשר מורשה להצפין או לפענח משאב.

כדי למנוע שימוש לרעה, שירות רשימת בקרת הגישה למפתחות (KACLS) צריך לוודא שהמערכת שמבצעת את הקריאה מורשית להצפין את האובייקט (קובץ או מסמך) לפני אריזת המפתח, ולפענח אותו לפני פתיחת האריזה של ה-DEK.

טוקן הרשאה להצפנה מצד הלקוח (CSE) ב-Docs וב-Drive, ביומן וב-Meet

ייצוג ב-JSON 
{
  "aud": string,
  "delegated_to": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
שדות
aud

string

הקהל, כפי שזוהה על ידי Google. צריך לבדוק את ההגדרות המקומיות.
delegated_to

string

(אופציונלי) כתובת האימייל של המשתמש שיש לו הרשאה לגשת למשאב.
email

string (UTF-8)

כתובת האימייל של המשתמש.
email_type

string

הוא מכיל אחד מהערכים הבאים:

  • google: כתובת האימייל הזו שייכת לחשבון Google.
  • google-visitor: כתובת האימייל הזו לא משויכת לחשבון Google, אבל Google אימתה אותה באמצעות קוד אימות.
  • customer-idp: כתובת האימייל הזו לא שייכת לחשבון Google, אבל כתובת האימייל של המשתמש חולצה באמצעות IdP שהוגדר על ידי הלקוח.
  • אפשר לא להגדיר את הטענה, ובמקרה כזה ערך ברירת המחדל הוא google.
exp

string

מועד התפוגה.
iat

string

זמן ההנפקה.
iss

string

הישות שהנפיקה את הטוקן. צריך לאמת את המזהה מול קבוצת המנפיקים המהימנים של אימות.
kacls_url

string

כתובת ה-URL הבסיסית של KACLS שהוגדרה, שמשמשת למניעת התקפות אדם בתווך (PITM).
perimeter_id

string (UTF-8)

(אופציונלי) ערך שקשור למיקום המסמך, שאפשר להשתמש בו כדי לבחור את ההיקף שייבדק כשמבטלים את העטיפה. הגודל המקסימלי: 128 בייטים.
resource_name

string (UTF-8)

מזהה של האובייקט שמוצפן באמצעות מפתח הצפנת הנתונים. הגודל המקסימלי: 128 בייטים.
role

string

הוא מכיל אחד מהערכים הבאים:

  • reader: מותר להתקשר רק אל unwrap.
  • writer: מותר להתקשר גם אל wrap וגם אל unwrap

טוקן הרשאה להצפנה מצד הלקוח ב-Gmail

ייצוג ב-JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
שדות
aud

string

הקהל, כפי שזוהה על ידי Google. צריך לבדוק את ההגדרות המקומיות.
email

string (UTF-8)

כתובת האימייל של המשתמש.
exp

string

מועד התפוגה.
iat

string

זמן ההנפקה.
message_id

string

מזהה של ההודעה שעליה מבוצעת הפענוח או החתימה. משמש כסיבת הלקוח למטרות ביקורת.
iss

string

הישות שהנפיקה את הטוקן. צריך לאמת את המזהה מול קבוצת המנפיקים המהימנים של אימות.
kacls_url

string

כתובת ה-URL הבסיסית של KACLS שהוגדרה, שמשמשת למניעת התקפות אדם בתווך (PITM).
perimeter_id

string (UTF-8)

(אופציונלי) ערך שקשור למיקום המסמך, שאפשר להשתמש בו כדי לבחור את ההיקף שייבדק כשמבטלים את העטיפה. הגודל המקסימלי: 128 בייטים.
resource_name

string (UTF-8)

מזהה של האובייקט שמוצפן באמצעות מפתח הצפנת הנתונים. הגודל המקסימלי: 512 בייטים.
role

string

הוא מכיל אחד מהערכים הבאים:

  • decrypter: אפשר לפענח.
  • signer: יכול לחתום.
spki_hash

string

תקציר הודעה (digest) בקידוד Base64 של SubjectPublicKeyInfo בקידוד DER של המפתח הפרטי שאליו מתבצעת גישה.
spki_hash_algorithm

string

האלגוריתם ששימש ליצירת spki_hash. יכול להיות SHA-256.

אסימון הרשאה לשירות ההעברה של KACLS

ייצוג ב-JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
שדות
aud

string

הקהל, כפי שזוהה על ידי Google. צריך לבדוק את ההגדרות המקומיות.
email

string (UTF-8)

כתובת האימייל של המשתמש.
exp

string

מועד התפוגה.
iat

string

זמן ההנפקה.
iss

string

הישות שהנפיקה את הטוקן. צריך לאמת את המזהה מול קבוצת המנפיקים המהימנים של אימות.
kacls_url

string

כתובת ה-URL הבסיסית של KACLS שהוגדרה, שמשמשת למניעת התקפות אדם בתווך (PITM).
role

string

הוא מכיל אחד מהערכים הבאים:

  • migrator: מותר להתקשר רק אל rewrap.
  • verifier: מותר להתקשר רק אל digest.