אסימוני הרשאה

אסימון Bearer (JWT: RFC 7519) שהונפק על ידי Google כדי לאמת שהמתקשר מורשה להצפין או לפענח משאב.

כדי למנוע שימוש לרעה, שירות רשימת בקרת הגישה למפתחות (KACLS) צריך לוודא שהמתקשר מורשה להצפין את האובייקט (קובץ או מסמך) לפני שהוא עוטף את המפתח, ולפענח אותו לפני שהוא מבטל את העטיפה של מפתח הצפנת הנתונים (DEK).

אסימון הרשאה להצפנה מצד הלקוח (CSE) ב-Google Docs, ב-Google Drive, ביומן Google וב-Google Meet

ייצוג JSON 
{
  "aud": string,
  "delegated_to": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
שדות
aud

string

הקהל, כפי שזוהה על ידי Google. צריך לבדוק את ההגדרה המקומית.
delegated_to

string

(אופציונלי) כתובת האימייל של המשתמש שמורשה לגשת למשאב.
email

string (UTF-8)

כתובת האימייל של המשתמש.
email_type

string

הוא מכיל אחד מהערכים הבאים:

  • google: כתובת האימייל הזו שייכת לחשבון Google.
  • google-visitor: האימייל הזה לא שייך לחשבון Google, אבל הוא אומת באמצעות קוד אימות על ידי Google.
  • customer-idp: כתובת האימייל הזו לא שייכת לחשבון Google, אבל כתובת האימייל של המשתמש חולצה באמצעות IdP שהוגדר על ידי הלקוח.
  • אפשר לא להגדיר את הטענה. במקרה כזה, ערך ברירת המחדל הוא `google`.
exp

string

מועד התפוגה.
iat

string

זמן ההנפקה.
iss

string

הישות שהנפיקה את הטוקן. צריך לאמת את המידע מול קבוצת המנפיקים המהימנים של אישורי האימות.
kacls_url

string

כתובת ה-URL הבסיסית של KACLS שהוגדרה, שמשמשת למניעת התקפות אדם בתווך (PITM).
perimeter_id

string (UTF-8)

(אופציונלי) ערך שקשור למיקום המסמך, שאפשר להשתמש בו כדי לבחור את גבולות הגזרה שייבדקו כשמבטלים את העטיפה. הגודל המקסימלי: 128 בייטים.
resource_name

string (UTF-8)

מזהה של האובייקט שמוצפן באמצעות מפתח הצפנת הנתונים. הגודל המקסימלי: 128 בייטים.
role

string

הוא מכיל אחד מהערכים הבאים:

  • reader: מותר להתקשר רק אל unwrap.
  • writer: מותר להתקשר גם אל wrap וגם אל unwrap

טוקן הרשאה להצפנה מצד הלקוח ב-Gmail

ייצוג JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
שדות
aud

string

הקהל, כפי שזוהה על ידי Google. צריך לבדוק את ההגדרה המקומית.
email

string (UTF-8)

כתובת האימייל של המשתמש.
exp

string

מועד התפוגה.
iat

string

זמן ההנפקה.
message_id

string

מזהה של ההודעה שעליה מבוצעת הפענוח או החתימה. משמש כסיבת הלקוח למטרות ביקורת.
iss

string

הישות שהנפיקה את הטוקן. צריך לאמת את המזהה מול קבוצת המנפיקים המהימנים של אישורי האימות.
kacls_url

string

כתובת ה-URL הבסיסית של KACLS שהוגדרה, שמשמשת למניעת התקפות אדם בתווך (PITM).
perimeter_id

string (UTF-8)

(אופציונלי) ערך שקשור למיקום המסמך שאפשר להשתמש בו כדי לבחור את גבולות הגזרה שייבדקו כשמבטלים את העטיפה. הגודל המקסימלי: 128 בייטים.
resource_name

string (UTF-8)

מזהה של האובייקט שמוצפן באמצעות מפתח הצפנת הנתונים. הגודל המקסימלי: 512 בייטים.
role

string

הוא מכיל אחד מהערכים הבאים:

  • decrypter: אפשר לפענח.
  • signer: יכול לחתום.
spki_hash

string

תקציר הודעה בקידוד Base64 רגיל של SubjectPublicKeyInfo בקידוד DER של המפתח הפרטי שאליו מתבצעת גישה.
spki_hash_algorithm

string

האלגוריתם ששימש ליצירת spki_hash. יכול להיות SHA-256.

אסימון הרשאה לשירות ההעברה של KACLS

ייצוג JSON 
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
שדות
aud

string

הקהל, כפי שזוהה על ידי Google. צריך לבדוק את ההגדרה המקומית.
email

string (UTF-8)

כתובת האימייל של המשתמש.
exp

string

מועד התפוגה.
iat

string

זמן ההנפקה.
iss

string

הישות שהנפיקה את הטוקן. צריך לאמת את המידע מול קבוצת המנפיקים המהימנים של אישורי האימות.
kacls_url

string

כתובת ה-URL הבסיסית של KACLS שהוגדרה, שמשמשת למניעת התקפות אדם בתווך (PITM).
role

string

הוא מכיל אחד מהערכים הבאים:

  • migrator: מותר להתקשר רק אל rewrap.
  • verifier: מותר להתקשר רק אל digest.