تم ضبط إعدادات خدمة "قائمة التحكّم بالوصول إلى مفاتيح التشفير" (KACLS) بدون إشراك Google. في ما يلي تفاصيل عن الإعدادات الشائعة وأفضل الممارسات المتعلقة بضبط الخدمة.
الإعدادات التشغيلية
يجب أن تكون واجهة برمجة التطبيقات متاحة فقط عبر HTTPS مع بروتوكول أمان طبقة النقل (TLS) 1.2 أو إصدار أحدث مع شهادة X.509 صالحة.
يجب أن يعالج خادم واجهة برمجة التطبيقات CORS للوصول إلى نقطة النهاية المعتمَدة من Google:
https://client-side-encryption.google.com
.ننصح بحد أقصى لمُدد الاستجابة يبلغ 200 ملي ثانية لنسبة% 99 من الطلبات.
إعدادات موفِّر المصادقة
استخدِم الإعدادات أدناه للتحقّق من صحة رموز التفويض الصادرة عن Google أثناء التشفير من جهة العميل (CSE):
سياق تطبيق Google Workspace | عنوان URL لنقطة نهاية JWKS | جهة إصدار الرمز المميّز للتفويض | شريحة جمهور الرمز المميّز للاعتماد |
---|---|---|---|
Google Drive وأدوات إنشاء المحتوى التعاوني، مثل "مستندات Google" و"جداول بيانات Google" | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
ميزة "التشفير من جهة العميل" في Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
التشفير من جهة العميل في "تقويم Google" | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
ميزة "التشفير من جهة العميل" في Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
نقل بيانات KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
إعدادات موفِّر الهوية
إنّ الإعدادات الواردة أدناه مطلوبة لكل موفِّر هوية (IdP) غير تابع لخدمة Google تتعامل معه:
- طريقة التحقّق من الرموز المميّزة يتم عادةً التحقّق من الرموز المميّزة من خلال عنوان URL المؤدي إلى ملف "مجموعة مفاتيح JSON على الويب" (JWKS)، ولكن يمكن أن تكون أيضًا المفاتيح العامة نفسها.
- قيم جهة الإصدار والجمهور: قيم الحقلَين
iss
(جهة الإصدار) وaud
(الجمهور) التي يستخدمها كل موفِّر هوية
إعدادات المحيط
يُستخدَم مفهوم المحيط في ميزة "التشفير من جهة العميل" في Google Workspace لتوفير إمكانية التحكّم في الوصول إلى مفاتيح التشفير من خلال ملف KACLS. الحدود هي عمليات تحقّق إضافية اختيارية يتم إجراؤها على علامات اعتماد المصادقة وتفويض الوصول ضمن سياسة KACLS.
يمكن استخدام المحيطات لإجراء ما يلي:
- السماح للمستخدمين في النطاقات المُدرَجة في القائمة المسموح بها فقط بفك تشفير المفاتيح
- المستخدمون المدرَجون في القائمة المحظورة، مثل مشرفي Google Workspace
- تقديم قيود متقدّمة على سبيل المثال:
- قيود مستندة إلى الوقت للموظفين قيد الطلب أو الأشخاص في إجازة
- قيود الموقع الجغرافي لمنع الوصول من مواقع جغرافية أو شبكات معيّنة
- إذن الوصول المستنِد إلى دور المستخدم أو نوعه، كما يؤكد موفِّر الهوية
التحقّق من إعدادات KACLS
للتحقّق مما إذا كان اشتراك KACLS نشطًا وتم ضبطه بشكلٍ صحيح، أرسِل طلبًا بشأن
status
. يمكن أيضًا إجراء عمليات التحقّق الذاتية الداخلية،
مثل إمكانية الوصول إلى "إدارة مفاتيح المحتوى" أو حالة نظام التسجيل.