Jetons d'autorisation

Jeton porteur (JWT : RFC 7519) émis par Google pour vérifier que l'appelant est autorisé à chiffrer ou à déchiffrer une ressource.

Pour éviter les abus, le service de liste de contrôle d'accès aux clés (KACLS) doit vérifier que l'appelant est autorisé à chiffrer l'objet (fichier ou document) avant d'encapsuler la clé et à le déchiffrer avant de désencapsuler la DEK.

Jeton d'autorisation pour le chiffrement côté client (CSE) de Google Docs et Google Drive, Google Agenda et Google Meet

Représentation JSON
{ "aud": string, "delegated_to": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string }

Représentation JSON

{
  "aud": string,
  "delegated_to": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}

Champs
`aud`	`string` Audience, telle qu'identifiée par Google. Doit être vérifiée par rapport à la configuration locale.
`delegated_to`	`string` (Facultatif) Adresse e-mail de l'utilisateur autorisé à accéder à la ressource.
`email`	`string (UTF-8)` Adresse e-mail de l'utilisateur.
`email_type`	`string` Contient l'une des valeurs suivantes : `google` : cet e-mail appartient à un compte Google. `google-visitor` : cet e-mail n'appartient pas à un compte Google, mais a été validé par Google à l'aide d'un code PIN. `customer-idp` : cet e-mail n'appartient pas à un compte Google, mais l'e-mail de l'utilisateur a été extrait à l'aide d'un IdP configuré par le client. La revendication peut être non définie. Dans ce cas, la valeur par défaut est `google`.
`exp`	`string` Date d'expiration.
`iat`	`string` Heure d'émission.
`iss`	`string` Émetteur de jeton. Doit être validé par rapport à l'ensemble approuvé d'émetteurs d'authentification.
`kacls_url`	`string` URL KACLS de base configurée, utilisée pour éviter les attaques de l'intercepteur.
`perimeter_id`	`string (UTF-8)` (Facultatif) Valeur liée à l'emplacement du document qui peut être utilisée pour choisir le périmètre à vérifier lors du désencapsulage. Taille maximale : 128 octets.
`resource_name`	`string (UTF-8)` Identifiant de l'objet chiffré par la DEK. Taille maximale : 128 octets.
`role`	`string` Contient l'une des valeurs suivantes : `reader` : autorisé à n'appeler que `unwrap`. `writer` : autorisé à appeler `wrap` et `unwrap`.

Jeton d'autorisation pour le CSE Gmail

Représentation JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string }

Représentation JSON

{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}

Champs
`aud`	`string` Audience, telle qu'identifiée par Google. Doit être vérifiée par rapport à la configuration locale.
`email`	`string (UTF-8)` Adresse e-mail de l'utilisateur.
`exp`	`string` Date d'expiration.
`iat`	`string` Heure d'émission.
`message_id`	`string` Identifiant du message sur lequel le déchiffrement ou la signature est effectué. Utilisé comme motif client à des fins d'audit.
`iss`	`string` Émetteur de jeton. Doit être validé par rapport à l'ensemble approuvé d'émetteurs d'authentification.
`kacls_url`	`string` URL KACLS de base configurée, utilisée pour éviter les attaques de l'intercepteur.
`perimeter_id`	`string (UTF-8)` (Facultatif) Valeur liée à l'emplacement du document qui peut être utilisée pour choisir le périmètre à vérifier lors du désencapsulage. Taille maximale : 128 octets.
`resource_name`	`string (UTF-8)` Identifiant de l'objet chiffré par la DEK. Taille maximale : 512 octets.
`role`	`string` Contient l'une des valeurs suivantes : `decrypter` : peut déchiffrer. `signer` : peut signer.
`spki_hash`	`string` Digest encodé en base64 standard du `SubjectPublicKeyInfo` encodé au format DER de la clé privée à laquelle vous accédez.
`spki_hash_algorithm`	`string` Algorithme utilisé pour générer `spki_hash`. Peut être `SHA-256`.

Jeton d'autorisation pour le service de migration KACLS

Représentation JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string }

Champs
`aud`	`string` Audience, telle qu'identifiée par Google. Doit être vérifiée par rapport à la configuration locale.
`email`	`string (UTF-8)` Adresse e-mail de l'utilisateur.
`exp`	`string` Date d'expiration.
`iat`	`string` Heure d'émission.
`iss`	`string` Émetteur de jeton. Doit être validé par rapport à l'ensemble approuvé d'émetteurs d'authentification.
`kacls_url`	`string` URL KACLS de base configurée, utilisée pour éviter les attaques de l'intercepteur.
`role`	`string` Contient l'une des valeurs suivantes : `migrator` : autorisé à n'appeler que `rewrap`. `verifier` : autorisé à n'appeler que `digest`.

Jetons d'autorisation Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Jeton d'autorisation pour le chiffrement côté client (CSE) de Google Docs et Google Drive, Google Agenda et Google Meet

Jeton d'autorisation pour le CSE Gmail

Jeton d'autorisation pour le service de migration KACLS

Jetons d'autorisation