Dịch vụ Danh sách kiểm soát quyền truy cập khoá (KACLS) được định cấu hình mà không cần đến sự tham gia của Google. Dưới đây là thông tin chi tiết về các chế độ cài đặt phổ biến và các phương pháp hay nhất để định cấu hình dịch vụ.
Chế độ cài đặt hoạt động
API chỉ được cung cấp qua HTTPS với TLS 1.2 trở lên và có chứng chỉ X.509 hợp lệ.
Máy chủ API phải xử lý CORS để truy cập vào điểm cuối được uỷ quyền của Google:
https://client-side-encryption.google.com.Bạn nên đặt độ trễ tối đa là 200 mili giây cho 99% số yêu cầu.
Chế độ cài đặt nhà cung cấp uỷ quyền
Sử dụng các chế độ cài đặt bên dưới để xác thực mã thông báo uỷ quyền do Google phát hành trong quá trình mã hoá phía máy khách (CSE):
| Ngữ cảnh ứng dụng Google Workspace | URL điểm cuối JWKS | Bên phát hành mã thông báo uỷ quyền | Đối tượng mã thông báo uỷ quyền |
|---|---|---|---|
| Google Drive và các công cụ tạo nội dung cộng tác, chẳng hạn như Tài liệu và Trang tính | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| CSE của Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| CSE trên Lịch | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| CSE của Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| Di chuyển KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Cài đặt Nhà cung cấp danh tính
Bạn bắt buộc phải sử dụng các chế độ cài đặt bên dưới cho mỗi Nhà cung cấp danh tính (IdP) không phải của Google mà dịch vụ của bạn sử dụng:
- Phương thức xác thực mã thông báo. Mã thông báo thường được xác thực bằng URL đến tệp JSON Web Key Set (JWKS), nhưng cũng có thể là chính các khoá công khai.
- Giá trị của tổ chức phát hành và đối tượng: Giá trị của trường
iss(tổ chức phát hành) vàaud(đối tượng) mà mỗi Nhà cung cấp danh tính sử dụng.
Chế độ cài đặt chu vi
Khái niệm ranh giới trong tính năng Mã hoá phía máy khách (CSE) của Google Workspace được dùng để cung cấp quyền kiểm soát truy cập vào khoá mã hoá thông qua KACLS. Ranh giới là các bước kiểm tra bổ sung không bắt buộc được thực hiện trên mã thông báo xác thực và uỷ quyền trong KACLS.
Bạn có thể dùng chu vi để:
- Chỉ cho phép người dùng trên các miền có trong danh sách cho phép giải mã khoá.
- Người dùng trong danh sách chặn, chẳng hạn như quản trị viên Google Workspace.
- Đưa ra các quy định hạn chế nâng cao. Ví dụ:
- Quy định hạn chế dựa trên thời gian đối với nhân viên trực điện thoại hoặc người đang nghỉ phép
- Hạn chế về vị trí địa lý để ngăn chặn quyền truy cập từ một số vị trí hoặc mạng cụ thể
- Quyền truy cập dựa trên vai trò hoặc loại người dùng, do Nhà cung cấp danh tính xác nhận
Xác minh cấu hình KACLS
Để kiểm tra xem KACLS của bạn có đang hoạt động và được định cấu hình chính xác hay không, hãy gửi yêu cầu status. Bạn cũng có thể tự kiểm tra nội bộ, chẳng hạn như khả năng hỗ trợ tiếp cận KMS hoặc ghi lại tình trạng hệ thống.