鍵アクセス制御リストサービス(KACLS)は、Google の 関与します。一般的な設定とベスト プラクティスの詳細は次のとおりです。 サービスを構成します。
運用設定
API は、TLS 1.2 以降の有効な X.509 証明書です。
API サーバーで CORS を処理する必要がある Google が認定したエンドポイント
https://client-side-encryption.google.comにアクセスする。リクエストの 99% で、最大レイテンシを 200 ms にすることをおすすめします。
認証プロバイダの設定
以下の設定を使用して、Google が発行した 認証トークンを クライアントサイド暗号化(CSE):
| Google Workspace アプリケーションのコンテキスト | JWKS エンドポイント URL | 認証トークンの発行者 | 認証トークンのオーディエンス |
|---|---|---|---|
| Google ドライブと、コンテンツの共同作成ツール(ドキュメント、スプレッドシートなど) | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| Meet の CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| カレンダーの CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| Gmail CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| KACLS の移行 | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
ID プロバイダの設定
以下の設定は、Google 以外の ID プロバイダ(IdP)ごとに サービスは、以下と連携します。
- トークンを検証するメソッド。トークンは通常、URL によって検証され、 JSON Web Key Set(JWKS)ファイルですが、公開鍵自体にすることもできます。
- 発行元とオーディエンスの値:
iss(発行者)とaud(オーディエンス)のフィールド 値のセットを提供します。
境界の設定
Google Workspace クライアントサイド暗号化(CSE)の境界のコンセプトが使用されている KACLS を介して暗号鍵へのアクセス制御を提供します。境界 認証と認可のチェックを実施するためのオプションの追加のチェックです。 保存できます。
境界は次の目的で使用できます。
- 許可リスト登録済みドメイン内のユーザーのみに鍵の復号を許可する。
- ユーザー(Google Workspace 管理者など)を拒否リストに追加する。
- 高度な制限を提供します。例:
- オンコールの従業員や有給休暇の従業員に対する時間ベースの制限
- 特定の場所からのアクセスを防止する位置情報の制限 ネットワーク
- ID プロバイダによって表明されたユーザーロールまたはタイプベースのアクセス
KACLS の構成を確認する
KACLS が有効で、正しく設定されていることを確認するには、
status リクエスト。内部のセルフチェック、
使用することもできます。