Ihr Key Access Control List Service (KACLS) wird ohne Beteiligung von Google konfiguriert. Im Folgenden finden Sie Details zu gängigen Einstellungen und Best Practices für die Konfiguration Ihres Dienstes.
Betriebseinstellungen
Die API sollte nur über HTTPS mit TLS 1.2 oder höher und einem gültigen X.509-Zertifikat verfügbar sein.
Der API-Server sollte CORS für den Zugriff auf den autorisierten Endpunkt von Google verarbeiten:
https://client-side-encryption.google.com.Wir empfehlen eine maximale Latenz von 200 ms für 99% der Anfragen.
Einstellungen für Autorisierungsanbieter
Mit den folgenden Einstellungen kannst du die von Google ausgestellten Autorisierungstokens bei der clientseitigen Verschlüsselung (Client-Side Encryption, CSE) validieren:
| Google Workspace-Anwendungskontext | URL des JWKS-Endpunkts | Aussteller des Autorisierungstokens | Zielgruppe des Autorisierungstokens |
|---|---|---|---|
| Google Drive und Tools zum gemeinsamen Erstellen von Inhalten wie Google Docs und Google Tabellen | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| Clientseitige Verschlüsselung in Google Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| CSE in Google Kalender | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| CSE für Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| KACLS-Migration | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Einstellungen für Identitätsanbieter
Die folgenden Einstellungen sind für jeden Identitätsanbieter (IdP) erforderlich, der nicht zu Google gehört und mit dem Ihr Dienst funktioniert:
- Methode zum Validieren von Tokens. Tokens werden in der Regel anhand der URL zu einer JSON Web Key Set-Datei (JWKS) validiert. Es können aber auch die öffentlichen Schlüssel selbst sein.
- Aussteller- und Zielgruppenwerte:Die Feldwerte
iss(Aussteller) undaud(Zielgruppe), die von jedem Identitätsanbieter verwendet werden.
Perimetereinstellungen
Das Perimeterkonzept in der clientseitigen Verschlüsselung von Google Workspace (CSE) wird verwendet, um die Zugriffssteuerung für die Verschlüsselungsschlüssel über die KACLS bereitzustellen. Die Perimeter sind optionale zusätzliche Prüfungen, die an den Authentifizierungs- und Autorisierungstokens innerhalb der KACLS durchgeführt werden.
Perimeter können für Folgendes verwendet werden:
- Nur Nutzern in Domains auf der Zulassungsliste erlauben, Schlüssel zu entschlüsseln.
- Nutzer auf die Sperrliste setzen, z. B. Google Workspace-Administratoren
- Erweiterte Einschränkungen festlegen Beispiel:
- Zeitbasierte Einschränkungen für Mitarbeiter im Bereitschaftsdienst oder Personen in Urlaub
- Einschränkungen durch die Standortbestimmung, um den Zugriff von bestimmten Standorten oder Netzwerken aus zu verhindern
- Nutzerrollen- oder nutzertypbasierter Zugriff, wie von einem Identitätsanbieter angegeben
KACLS-Konfiguration überprüfen
Um zu prüfen, ob Ihre KACLS aktiv und richtig konfiguriert ist, senden Sie eine status-Anfrage. Auch interne Selbsttests wie die KMS-Zugänglichkeit oder das Protokollieren des Systemstatus können durchgeführt werden.