呼び出し元にリソースを暗号化または復号する権限があることを確認するために Google が発行する署名なしトークン(JWT: RFC 7516)。
不正使用を防ぐため、鍵アクセス制御リストサービス(KACLS)は、鍵をラップする前にオブジェクト(ファイルまたはドキュメント)を暗号化し、DEK をラップ解除する前に復号する権限が呼び出し元にあることを確認する必要があります。
ドキュメントとドライブ、カレンダー、Meet のクライアントサイド暗号化(CSE)の認証トークン
JSON 表現 | |
---|---|
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string } |
フィールド | |
---|---|
aud |
Google が特定したオーディエンス。ローカル構成と照らし合わせてチェックする必要があります。 |
email |
ユーザーのメール アドレスです。 |
email_type |
次のいずれかの値が含まれます。
|
exp |
有効期限。 |
iat |
発行日時。 |
iss |
トークン発行者。信頼できる認証発行元のセットに対して検証する必要があります。 |
kacls_url |
中間者(PITM)攻撃の防止に使用される設定済みのベース KACLS URL。 |
perimeter_id |
(省略可)ドキュメントの場所に関連付けられた値。これを使用して、ラップ解除時に確認する境界を選択できます。最大サイズ: 128 バイト。 |
resource_name |
DEK によって暗号化されたオブジェクトの識別子。最大サイズ: 128 バイト。 |
role |
次のいずれかの値が含まれます。 |
Gmail CSE の認証トークン
JSON 表現 | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string } |
フィールド | |
---|---|
aud |
Google が特定したオーディエンス。ローカル構成と照らし合わせてチェックする必要があります。 |
email |
ユーザーのメール アドレスです。 |
exp |
有効期限。 |
iat |
発行日時。 |
message_id |
復号または署名が行われるメッセージの識別子。監査目的でクライアントの理由として使用されます。 |
iss |
トークン発行者。信頼できる認証発行元のセットに対して検証する必要があります。 |
kacls_url |
中間者(PITM)攻撃の防止に使用される設定済みのベース KACLS URL。 |
perimeter_id |
(省略可)ドキュメントの場所に関連付けられた値。ラップ解除時にチェックする境界の選択に使用できます。最大サイズ: 128 バイト。 |
resource_name |
DEK によって暗号化されたオブジェクトの識別子。最大サイズ: 512 バイト。 |
role |
次のいずれかの値が含まれます。
|
spki_hash |
アクセス対象の秘密鍵の DER エンコードされた |
spki_hash_algorithm |
|
KACLS 移行サービスの認証トークン
JSON 表現 | |
---|---|
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string } |
フィールド | |
---|---|
aud |
Google が特定したオーディエンス。ローカル構成と照らし合わせてチェックする必要があります。 |
email |
ユーザーのメール アドレスです。 |
exp |
有効期限。 |
iat |
発行日時。 |
iss |
トークン発行者。信頼できる認証発行元のセットに対して検証する必要があります。 |
kacls_url |
中間者(PITM)攻撃の防止に使用される設定済みのベース KACLS URL。 |
role |
次のいずれかの値が含まれます。 |