אסימוני הרשאה

אסימון Bearer‏ (JWT: RFC 7516) שהונפק על ידי Google כדי לאמת שהמתקשר מורשה להצפין או לפענח משאב.

כדי למנוע שימוש לרעה, שירות רשימת בקרת הגישה למפתחות (KACLS) צריך לוודא שהמערכת שמבצעת את הקריאה מורשית להצפין את האובייקט (קובץ או מסמך) לפני אריזת המפתח, ולפענח אותו לפני פתיחת האריזה של ה-DEK.

אסימון הרשאה להצפנה מצד הלקוח (CSE) ב-Docs וב-Drive, ביומן וב-Meet

ייצוג ב-JSON 
{
  "aud": string,
  "delegated_to": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
שדות
aud

string

הקהל, כפי שזוהה על ידי Google. צריך לבדוק את ההגדרה המקומית.
delegated_to

string

(אופציונלי) כתובת האימייל של המשתמש שמורשה לגשת למשאב.
email

string (UTF-8)

כתובת האימייל של המשתמש.
email_type

string

הוא מכיל אחד מהערכים הבאים:

  • google: כתובת האימייל הזו שייכת לחשבון Google.
  • google-visitor: האימייל הזה לא משויך לחשבון Google, אבל Google אימתה אותו באמצעות קוד אימות.
  • customer-idp: כתובת האימייל הזו לא שייכת לחשבון Google, אבל כתובת האימייל של המשתמש חולצה באמצעות IdP שהוגדר על ידי הלקוח.
  • אפשר לא להגדיר את הטענה, ובמקרה כזה ערך ברירת המחדל הוא google.
exp

string

מועד התפוגה.
iat

string

זמן ההנפקה.
iss

string

הישות שהנפיקה את הטוקן. צריך לאמת את המזהה מול קבוצת המנפיקים המהימנים של אימות.
kacls_url

string

כתובת ה-URL הבסיסית של KACLS שהוגדרה, שמשמשת למניעת התקפות אדם בתווך (PITM).
perimeter_id

string (UTF-8)

(אופציונלי) ערך שקשור למיקום המסמך, שאפשר להשתמש בו כדי לבחור את ההיקף שייבדק כשמבטלים את העטיפה. הגודל המקסימלי: 128 בייטים.
resource_name

string (UTF-8)

מזהה של האובייקט שמוצפן באמצעות מפתח ה-DEK. הגודל המקסימלי: 128 בייטים.
role

string

הוא מכיל אחד מהערכים הבאים:

  • reader: מותר להתקשר רק אל unwrap.
  • writer: מותר להתקשר גם אל wrap וגם אל unwrap

טוקן הרשאה לחיפוש מותאם אישית ב-Gmail

ייצוג ב-JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
שדות
aud

string

הקהל, כפי שזוהה על ידי Google. צריך לבדוק את ההגדרה המקומית.
email

string (UTF-8)

כתובת האימייל של המשתמש.
exp

string

מועד התפוגה.
iat

string

זמן ההנפקה.
message_id

string

מזהה של ההודעה שעליה מתבצעת הפענוח או החתימה. משמש כסיבת הלקוח למטרות ביקורת.
iss

string

הישות שהנפיקה את הטוקן. צריך לאמת את המזהה מול קבוצת המנפיקים המהימנים של אימות.
kacls_url

string

כתובת ה-URL הבסיסית של KACLS שהוגדרה, שמשמשת למניעת התקפות אדם בתווך (PITM).
perimeter_id

string (UTF-8)

(אופציונלי) ערך שקשור למיקום המסמך, שאפשר להשתמש בו כדי לבחור את ההיקף שייבדק כשמבטלים את העטיפה. הגודל המקסימלי: 128 בייטים.
resource_name

string (UTF-8)

מזהה של האובייקט שמוצפן באמצעות מפתח ה-DEK. הגודל המקסימלי: 512 בייטים.
role

string

הוא מכיל אחד מהערכים הבאים:

  • decrypter: אפשר לפענח.
  • signer: יכול לחתום.
spki_hash

string

תקציר הודעה (digest) בקידוד Base64 של SubjectPublicKeyInfo בקידוד DER של המפתח הפרטי שאליו מתבצעת גישה.
spki_hash_algorithm

string

האלגוריתם ששימש ליצירת spki_hash. יכול להיות SHA-256.

אסימון הרשאה לשירות ההעברה של KACLS

ייצוג ב-JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
שדות
aud

string

הקהל, כפי שזוהה על ידי Google. צריך לבדוק את ההגדרה המקומית.
email

string (UTF-8)

כתובת האימייל של המשתמש.
exp

string

מועד התפוגה.
iat

string

זמן ההנפקה.
iss

string

הישות שהנפיקה את הטוקן. צריך לאמת את המזהה מול קבוצת המנפיקים המהימנים של אימות.
kacls_url

string

כתובת ה-URL הבסיסית של KACLS שהוגדרה, שמשמשת למניעת התקפות אדם בתווך (PITM).
role

string

הוא מכיל אחד מהערכים הבאים:

  • migrator: מותר להתקשר רק אל rewrap.
  • verifier: מותר להתקשר רק אל digest.