يتم إعداد خدمة قائمة التحكم بالوصول إلى المفاتيح (KACLS) بدون تدخُّل Google. نذكر أدناه تفاصيل حول الإعدادات الشائعة وأفضل الممارسات لضبط خدمتك
الإعدادات التشغيلية
يجب أن تكون واجهة برمجة التطبيقات متاحة فقط عبر HTTPS باستخدام بروتوكول أمان طبقة النقل (TLS) الإصدار 1.2 أو إصدار أحدث مع شهادة X.509 صالحة.
يجب أن يتعامل خادم واجهة برمجة التطبيقات مع CORS للوصول إلى نقطة النهاية المعتمَدة من Google:
https://client-side-encryption.google.com.ننصح بحد أقصى لوقت الاستجابة يبلغ 200 ملي ثانية لنسبة 99% من الطلبات.
إعدادات موفِّر التفويض
استخدِم الإعدادات أدناه للتحقّق من صحة الرموز المميّزة للتفويض التي أصدرتها Google أثناء التشفير من جهة العميل (CSE):
| سياق تطبيق Google Workspace | عنوان URL لنقطة نهاية JWKS | جهة إصدار الرمز المميّز للتفويض | جمهور رمز التفويض |
|---|---|---|---|
| Google Drive وأدوات إنشاء المحتوى التعاوني، مثل "مستندات Google" و"جداول بيانات Google" | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| ميزة "التشفير من جهة العميل" في Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| ميزة "التشفير من جهة العميل" في التقويم | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| ميزة "التشفير من جهة العميل" في Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| نقل بيانات خدمة KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
إعدادات موفِّر الهوية
الإعدادات أدناه مطلوبة لكل موفِّر هوية غير تابع لـ Google تعمل الخدمة معه:
- طريقة للتحقّق من صحة الرموز المميّزة: يتم عادةً التحقّق من صحة الرموز المميّزة من خلال عنوان URL لملف مجموعة مفاتيح الويب JSON (JWKS)، ولكنها قد تكون أيضًا المفاتيح العامة نفسها.
- قيم جهة الإصدار والجمهور: قيم حقلَي
iss(جهة الإصدار) وaud(الجمهور) التي يستخدمها كل موفِّر هوية.
إعدادات المحيط
يتم استخدام مفهوم المحيط في التشفير من جهة العميل (CSE) في Google Workspace لتوفير إمكانية التحكّم في الوصول إلى مفاتيح التشفير من خلال خدمة KACLS. المحيطات هي عمليات تحقق إضافية اختيارية يتم إجراؤها على الرموز المميزة للمصادقة والترخيص داخل KACLS.
يمكن استخدام المحيطات للأغراض التالية:
- السماح فقط للمستخدمين في النطاقات المُدرَجة في القائمة المسموح بها بفك تشفير المفاتيح.
- مستخدمو القائمة المحظورة، مثل مشرفي Google Workspace.
- قدِّم قيودًا متقدّمة. على سبيل المثال:
- القيود المستندة إلى الوقت للموظفين المسجَّلين أو الأشخاص في العطلات
- قيود تحديد الموقع الجغرافي لمنع الوصول من مواقع أو شبكات محددة
- الوصول المستند إلى دور المستخدم أو نوعه، كما أكّد موفّر الهوية
التحقُّق من إعدادات خدمة KACLS
للتحقّق مما إذا كانت خدمة KACLS مفعّلة وضبطها بشكلٍ صحيح، أرسِل طلب status. يمكن أيضًا إجراء عمليات تحقق ذاتية داخلية، مثل إمكانية الوصول
إلى KMS أو سلامة نظام التسجيل.