認可トークン

呼び出し元にリソースの暗号化または復号化の権限があることを確認するために Google が発行するベアラー トークン(JWT: RFC 7519)。

不正使用を防ぐため、鍵アクセス制御リスト サービス(KACLS)は、鍵をラップする前に呼び出し元にオブジェクト(ファイルまたはドキュメント)の暗号化権限があることを確認し、DEK のラップを解除する前に復号化権限があることを確認する必要があります。

Google ドキュメントと Google ドライブ、Google カレンダー、Google Meet のクライアントサイド暗号化(CSE)の認可トークン

JSON 表現 
{
  "aud": string,
  "delegated_to": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
フィールド
aud

string

Google が識別するオーディエンス。ローカル構成と照合する必要があります。

delegated_to

string

(省略可)リソースへのアクセス権を持つユーザーのメールアドレス。
email

string (UTF-8)

ユーザーのメール アドレスです。
email_type

string

次のいずれかの値が含まれます。

  • google: このメールは Google アカウントに属しています。
  • google-visitor: このメールは Google アカウントに属していませんが、Google によって PIN コードで確認されています。
  • customer-idp: このメールは Google アカウントに属していませんが、ユーザーのメールは 顧客が構成した IdP を使用して抽出されました。
  • このクレームは設定解除できます。その場合、デフォルト値は `google` になります。
exp

string

有効期限。
iat

string

発行時間。
iss

string

トークン発行者。信頼できる認証発行者のセットに対して検証する必要があります。
kacls_url

string

中間者(PITM)攻撃を防ぐために使用される、構成済みのベース KACLS URL。
perimeter_id

string (UTF-8)

(省略可)ドキュメントの場所に関連付けられた値。ラップ解除時に確認する境界を選択するために使用できます。 最大 サイズ: 128 バイト。
resource_name

string (UTF-8)

DEK で暗号化されたオブジェクトの識別子。最大サイズ: 128 バイト。
role

string

次のいずれかの値が含まれます。

  • reader: unwrap の呼び出しのみが許可されます。
  • writer: wrapunwrap の両方を呼び出すことができます。

Gmail CSE の認可トークン

JSON 表現 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
フィールド
aud

string

Google が識別するオーディエンス。ローカル構成と照合する必要があります。

email

string (UTF-8)

ユーザーのメール アドレスです。
exp

string

有効期限。
iat

string

発行時間。
message_id

string

復号または署名が実行されるメッセージの識別子 。監査の目的でクライアントの理由として使用されます。
iss

string

トークン発行者。信頼できる認証発行者のセットに対して検証する必要があります。
kacls_url

string

中間者(PITM)攻撃を防ぐために使用される、構成済みのベース KACLS URL。
perimeter_id

string (UTF-8)

(省略可)ドキュメントの場所に関連付けられた値。ラップ解除時に確認する境界を選択するために使用できます。最大サイズ: 128 バイト。
resource_name

string (UTF-8)

DEK で暗号化されたオブジェクトの識別子。最大サイズ: 512 バイト。
role

string

次のいずれかの値が含まれます。

  • decrypter: 復号できます。
  • signer: 署名できます。
spki_hash

string

アクセスされる秘密鍵の DER エンコードされた SubjectPublicKeyInfo の標準 Base64 エンコード ダイジェスト。
spki_hash_algorithm

string

spki_hash の生成に使用されるアルゴリズム。 を指定できますSHA-256

KACLS 移行サービスの認可トークン

JSON 表現 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
フィールド
aud

string

Google が識別するオーディエンス。ローカル構成と照合する必要があります。

email

string (UTF-8)

ユーザーのメール アドレスです。
exp

string

有効期限。
iat

string

発行時間。
iss

string

トークン発行者。信頼できる認証発行者のセットに対して検証する必要があります。
kacls_url

string

中間者(PITM)攻撃を防ぐために使用される、構成済みのベース KACLS URL。
role

string

次のいずれかの値が含まれます。

  • migratorrewrap の呼び出しのみが許可されます。
  • verifier: digest の呼び出しのみが許可されます。