Tokens de autorización

Token del portador (JWT: RFC 7516) emitidos por Google para verificar que el emisor esté autorizado a encriptar o desencriptar un recurso.

Para evitar abusos, el servicio de listas de control de acceso a las claves (KACLS) debe verificar lo siguiente: el emisor está autorizado a encriptar el objeto (archivo o documento) antes unir la clave y desencriptarla antes de separar la DEK.

Token de autorización para Documentos y Encriptación del cliente (CSE) de Drive, Calendario y Meet

Representación JSON
{
  "aud": string,
  "email": string,
  "email_type": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string
}
Campos
aud

string

El público, tal como lo identifica Google Se debe comparar con la configuración local.

email

string (UTF-8)

La dirección de correo electrónico del usuario.

email_type

string

Contiene uno de los siguientes valores:

  • google: Este correo electrónico pertenece a una Cuenta de Google.
  • google-visitor: Este correo electrónico no pertenece a una Cuenta de Google, pero Google verificó el código PIN.
  • customer-idp: Este correo electrónico no pertenece a una Cuenta de Google, pero el correo electrónico del usuario se extrajo mediante un IdP configurado por el cliente.
  • El reclamo se puede desactivar. en ese caso, el valor predeterminado es "google".
exp

string

Hora de vencimiento.

iat

string

Tiempo de emisión

iss

string

El emisor del token. Debe validarse con respecto al conjunto de entidades emisoras de autenticación de confianza.

kacls_url

string

Es la URL base de KACLS que se configura y se usa para evitar ataques de intermediarios (PITM).

perimeter_id

string (UTF-8)

Un valor vinculado a la ubicación del documento que se puede usar para elegir qué perímetro se verificará cuando se desenvuelva (opcional). Tamaño máximo: 128 bytes

resource_name

string (UTF-8)

Un identificador para el objeto encriptado por la DEK. Tamaño máximo: 128 bytes

role

string

Contiene uno de los siguientes valores:

  • reader: Solo se puede llamar a unwrap.
  • writer: Se puede llamar a wrap y a unwrap.

Token de autorización para la CSE de Gmail

Representación JSON
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}
Campos
aud

string

El público, tal como lo identifica Google Se debe comparar con la configuración local.

email

string (UTF-8)

La dirección de correo electrónico del usuario.

exp

string

Hora de vencimiento.

iat

string

Tiempo de emisión

message_id

string

Un identificador para el mensaje en el que la desencriptación o la firma de que ocurra la evaluación. Se usa como motivo del cliente para fines de auditoría.

iss

string

El emisor del token. Debe validarse con respecto al conjunto de entidades emisoras de autenticación de confianza.

kacls_url

string

Es la URL base de KACLS que se configura y se usa para evitar ataques de intermediarios (PITM).

perimeter_id

string (UTF-8)

Un valor vinculado a la ubicación del documento que se puede usar para elegir qué perímetro se debe marcar cuando se desenvuelve (opcional). Tamaño máximo: 128 bytes

resource_name

string (UTF-8)

Un identificador para el objeto encriptado por la DEK. Tamaño máximo: 512 bytes

role

string

Contiene uno de los siguientes valores:

  • decrypter: Puede desencriptar el mensaje.
  • signer: Puede firmar.
spki_hash

string

Resumen estándar codificado en base64 del SubjectPublicKeyInfo con codificación DER de la clave privada a la que se accede.

spki_hash_algorithm

string

Algoritmo que se usa para producir spki_hash. Puede ser SHA-256.

Token de autorización para el servicio de migración KACLS

Representación JSON
{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "iss": string,
  "kacls_url": string,
  "resource_name": string,
  "role": string
}
Campos
aud

string

El público, tal como lo identifica Google Se debe comparar con la configuración local.

email

string (UTF-8)

La dirección de correo electrónico del usuario.

exp

string

Hora de vencimiento.

iat

string

Tiempo de emisión

iss

string

El emisor del token. Debe validarse con respecto al conjunto de entidades emisoras de autenticación de confianza.

kacls_url

string

Es la URL base de KACLS que se configura y se usa para evitar ataques de intermediarios (PITM).

role

string

Contiene uno de los siguientes valores:

  • migrator: Solo se puede llamar a rewrap.
  • verifier: Solo se puede llamar a digest.