認可トークン

呼び出し元がリソースの暗号化または復号を行う権限を持っていることを確認するために Google が発行するベアラー トークン(JWT: RFC 7516)。

不正使用を防ぐため、Key Access Control List Service(KACLS)は、呼び出し元がオブジェクト(ファイルまたはドキュメント)を暗号化する権限があることを確認してから鍵をラップし、DEK をアンラップする前に復号する必要があります。

ドキュメントとドライブ、カレンダー、Meet のクライアントサイド暗号化(CSE)の認証トークン

JSON 表現 
{
  "aud": string,
  "delegated_to": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
フィールド
aud

string

Google が特定したオーディエンス。ローカル構成に対して確認する必要があります。
delegated_to

string

(省略可)リソースへのアクセスが許可されているユーザーのメールアドレス。
email

string (UTF-8)

ユーザーのメール アドレスです。
email_type

string

次のいずれかの値が含まれます。

  • google: このメールは Google アカウントに属しています。
  • google-visitor: このメールアドレスは Google アカウントに属していませんが、Google によって PIN コードで確認されています。
  • customer-idp: このメールアドレスは Google アカウントに属していませんが、ユーザーのメールアドレスは顧客が構成した IdP を使用して抽出されました。
  • このクレームは設定解除できます。その場合、デフォルト値は `google` になります。
exp

string

有効期限。
iat

string

発行時間。
iss

string

トークン発行者。信頼できる認証発行者のセットに対して検証する必要があります。
kacls_url

string

中間者(PITM)攻撃を防ぐために使用される、構成済みのベース KACLS URL。
perimeter_id

string (UTF-8)

(省略可)ドキュメントの場所に結び付けられた値。アンラップ時にどの境界をチェックするかを選択するために使用できます。最大サイズ: 128 バイト。
resource_name

string (UTF-8)

DEK で暗号化されたオブジェクトの識別子。最大サイズ: 128 バイト。
role

string

次のいずれかの値が含まれます。

  • reader: unwrap の呼び出しのみが許可されます。
  • writer: wrapunwrap の両方を呼び出すことが許可されています

Gmail CSE の認可トークン

JSON 表現 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
フィールド
aud

string

Google が特定したオーディエンス。ローカル構成に対して確認する必要があります。
email

string (UTF-8)

ユーザーのメール アドレスです。
exp

string

有効期限。
iat

string

発行時間。
message_id

string

復号または署名が実行されるメッセージの識別子。監査目的のクライアント理由として使用されます。
iss

string

トークン発行者。信頼できる認証発行者のセットに対して検証する必要があります。
kacls_url

string

中間者(PITM)攻撃を防ぐために使用される、構成済みのベース KACLS URL。
perimeter_id

string (UTF-8)

(省略可)ドキュメントのロケーションに関連付けられた値。アンラップ時にどの境界をチェックするかを選択するために使用できます。最大サイズ: 128 バイト。
resource_name

string (UTF-8)

DEK で暗号化されたオブジェクトの識別子。最大サイズ: 512 バイト。
role

string

次のいずれかの値が含まれます。

  • decrypter: 復号できます。
  • signer: 署名できます。
spki_hash

string

アクセスされる秘密鍵の DER エンコードされた SubjectPublicKeyInfo の標準の Base64 エンコードされたダイジェスト。
spki_hash_algorithm

string

spki_hash の生成に使用されるアルゴリズム。SHA-256 が可能です。

KACLS 移行サービスの認可トークン

JSON 表現 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
フィールド
aud

string

Google が特定したオーディエンス。ローカル構成に対して確認する必要があります。
email

string (UTF-8)

ユーザーのメール アドレスです。
exp

string

有効期限。
iat

string

発行時間。
iss

string

トークン発行者。信頼できる認証発行者のセットに対して検証する必要があります。
kacls_url

string

中間者(PITM)攻撃を防ぐために使用される、構成済みのベース KACLS URL。
role

string

次のいずれかの値が含まれます。

  • migrator: rewrap の呼び出しのみが許可されます。
  • verifier: digest の呼び出しのみが許可されます。