Usługa listy kontroli dostępu do kluczy (KACLS) jest skonfigurowana bez udziału Google. Poniżej znajdziesz informacje o typowych ustawieniach i sprawdzonych metodach konfigurowania usługi.
Ustawienia operacyjne
Interfejs API powinien być dostępny tylko przez HTTPS z TLS 1.2 lub nowszym z ważnym certyfikatem X.509.
Serwer interfejsu API powinien obsługiwać CORS, aby uzyskać dostęp do autoryzowanego punktu końcowego Google:
https://client-side-encryption.google.com
.Zalecamy maksymalne opóźnienie 200 ms w przypadku 99% żądań.
Ustawienia dostawcy autoryzacji
Aby zweryfikować tokeny autoryzacji wydane przez Google podczas szyfrowania po stronie klienta (CSE), użyj tych ustawień:
Kontekst aplikacji Google Workspace | Adres URL punktu końcowego JWKS | Wydawca tokena autoryzacji | Lista odbiorców tokena autoryzacji |
---|---|---|---|
Dysk Google i narzędzia do wspólnego tworzenia treści, takie jak Dokumenty i Arkusze | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
Szyfrowanie po stronie klienta w Google Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
szyfrowanie po stronie klienta w Kalendarzu, | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
Szyfrowanie po stronie klienta w Gmailu | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
Migracja KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Ustawienia dostawcy tożsamości
Te ustawienia są wymagane w przypadku każdego dostawcy tożsamości innego niż Google, z którego usług korzysta Twoja usługa:
- Metoda weryfikacji tokenów. Tokeny są zwykle weryfikowane za pomocą adresu URL do pliku JWKS (JSON Web Key Set), ale mogą to być też same klucze publiczne.
- Wartości dotyczące wystawcy i listy odbiorców: wartości pól
iss
(wystawca) iaud
(odbiorcy) używane przez poszczególnych dostawców tożsamości.
Ustawienia perymetru
Koncepcja obwodu w szyfrowaniu po stronie klienta Google Workspace służy do zapewniania kontroli dostępu do kluczy szyfrowania za pomocą KACLS. Peryferia to opcjonalne dodatkowe kontrole wykonywane na tokenach uwierzytelniania i autoryzacji w ramach KACLS.
Granic można używać do:
- Zezwalaj na odszyfrowywanie kluczy tylko użytkownikom z domen umieszczonych na liście dozwolonych.
- blokować użytkowników, np. administratorów Google Workspace;
- Ustaw zaawansowane ograniczenia. Na przykład:
- Ograniczenia czasowe dla pracowników dyżurujących lub osób na urlopie
- Ograniczenia dotyczące geolokalizacji, które uniemożliwiają dostęp z określonych lokalizacji lub sieci.
- Dostęp na podstawie roli lub typu użytkownika, jak stwierdza dostawca tożsamości.
Sprawdzanie konfiguracji KACLS
Aby sprawdzić, czy usługa KACLS jest aktywna i prawidłowo skonfigurowana, wyślij prośbę status
. Można też przeprowadzać wewnętrzne kontrole, takie jak dostępność KMS czy stan systemu rejestrowania.