Esta página foi traduzida pela API Cloud Translation.

Configurar o serviço

Seu serviço de lista de controle de acesso a chaves (KACLS, na sigla em inglês) está configurado sem o envolvimento do Google. Veja abaixo detalhes sobre configurações comuns e práticas recomendadas para configurar seu serviço.

Configurações operacionais

A API só deve estar disponível por HTTPS com TLS 1.2 ou posterior com um certificado X.509 válido.
O servidor da API deve gerenciar o CORS para acessar o endpoint autorizado do Google: https://client-side-encryption.google.com.
Recomendamos uma latência máxima de 200 ms para 99% das solicitações.

Configurações do provedor de autorização

Use as configurações abaixo para validar os tokens de autorização emitidos pelo Google durante a criptografia do lado do cliente (CSE):

Contexto do aplicativo do Google Workspace	URL do endpoint do JWKS	Emissor do token de autorização	Público-alvo do token de autorização
Google Drive e ferramentas de criação de conteúdo colaborativo, como o Documentos e o Planilhas	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`cse-authorization`

Configurações do provedor de identidade

As configurações abaixo são obrigatórias para cada provedor de identidade (IdP, na sigla em inglês) que não é do Google com que seu serviço trabalha:

Método para validar tokens. Os tokens geralmente são validados pelo URL em um arquivo JSON Web Key Set (JWKS), mas também podem ser as chaves públicas.
Valores de emissor e de público-alvo:os valores dos campos iss (emissor) e aud (público) usados por cada provedor de identidade.

Configurações do perímetro

O conceito de perímetro na criptografia do lado do cliente (CSE) Google Workspace é usado para fornecer controle de acesso às chaves de criptografia via KACLS. Os perímetros são verificações extras opcionais realizadas nos tokens de autenticação e autorização dentro do KACLS.

Os perímetros podem ser usados para:

Só permita que usuários em domínios autorizados façam a descriptografia das chaves.
Adicionar usuários à lista de bloqueio, como administradores do Google Workspace.
Fornecer restrições avançadas. Exemplo:
- Restrições com base no tempo para funcionários de plantão ou pessoas de férias
- Restrições de geolocalização para impedir o acesso de redes ou locais específicos
- Acesso baseado em função ou tipo do usuário, conforme declarado por um provedor de identidade.

Verificar a configuração KACLS

Para verificar se o KACLS está ativo e configurado corretamente, envie uma solicitação status. Também é possível realizar autoverificações internas, como acessibilidade do KMS ou integridade do sistema de registro.