กําหนดค่าบริการ

Key Access Control List Service (KACLS) ได้รับการกำหนดค่าโดยไม่มี ที่เกี่ยวข้อง ด้านล่างนี้เป็นรายละเอียดเกี่ยวกับการตั้งค่าทั่วไปและแนวทางปฏิบัติแนะนำสำหรับ กำลังกำหนดค่าบริการของคุณ

การตั้งค่าการดำเนินการ

  • API ควรใช้งานได้ผ่าน HTTPS ที่มี TLS 1.2 ขึ้นไปเท่านั้น ใบรับรอง X.509

  • เซิร์ฟเวอร์ API ควรจัดการ CORS เพื่อเข้าถึงปลายทางที่ได้รับอนุญาตของ Google: https://client-side-encryption.google.com

  • เราขอแนะนำเวลาในการตอบสนองสูงสุด 200 มิลลิวินาทีสำหรับคำขอ 99%

การตั้งค่าผู้ให้บริการการให้สิทธิ์

ใช้การตั้งค่าด้านล่างเพื่อตรวจสอบเอกสารที่ออกโดย Google โทเค็นการให้สิทธิ์ระหว่าง การเข้ารหัสฝั่งไคลเอ็นต์ (CSE):

บริบทของแอปพลิเคชัน Google Workspace URL ปลายทางของ JWKS ผู้ออกโทเค็นการให้สิทธิ์ กลุ่มเป้าหมายโทเค็นการให้สิทธิ์
Google ไดรฟ์และเครื่องมือการสร้างเนื้อหาแบบทำงานร่วมกัน เช่น เอกสารและชีต https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com gsuitecse-tokenissuer-drive@system.gserviceaccount.com cse-authorization
พบกับ CSE https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com gsuitecse-tokenissuer-meet@system.gserviceaccount.com cse-authorization
CSE ของปฏิทิน https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com gsuitecse-tokenissuer-calendar@system.gserviceaccount.com cse-authorization
CSE ของ Gmail https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com gsuitecse-tokenissuer-gmail@system.gserviceaccount.com cse-authorization
การย้ายข้อมูล KACLS https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com apps-security-cse-kaclscommunication@system.gserviceaccount.com cse-authorization

การตั้งค่าผู้ให้บริการข้อมูลประจำตัว

การตั้งค่าด้านล่างนี้จำเป็นสำหรับผู้ให้บริการข้อมูลประจำตัว (IdP) ที่ไม่ใช่ Google แต่ละราย บริการใช้งานได้กับ:

  • วิธีตรวจสอบโทเค็น โดยทั่วไปโทเค็นจะได้รับการตรวจสอบโดย URL ไปยัง JSON Web Key Set (JWKS) แต่อาจเป็นคีย์สาธารณะก็ได้
  • ค่าผู้ออกและกลุ่มเป้าหมาย: ช่อง iss (ผู้ออกใบรับรอง) และ aud (กลุ่มเป้าหมาย) ค่าที่ผู้ให้บริการข้อมูลประจำตัวแต่ละรายใช้

การตั้งค่าขอบเขต

ระบบจะใช้แนวคิดขอบเขตในการเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace เพื่อใช้ควบคุมการเข้าถึงคีย์การเข้ารหัสผ่าน KACLS ขอบเขต คือการตรวจสอบเพิ่มเติมที่ไม่บังคับเกี่ยวกับการตรวจสอบสิทธิ์และการให้สิทธิ์ ภายใน KACLS

เส้นขอบสามารถใช้เพื่อทำสิ่งต่อไปนี้

  • อนุญาตให้เฉพาะผู้ใช้ในโดเมนในรายการที่อนุญาตถอดรหัสคีย์ได้
  • ผู้ใช้ที่บล็อกไว้ เช่น ผู้ดูแลระบบ Google Workspace
  • ระบุข้อจำกัดขั้นสูง ดังตัวอย่างต่อไปนี้
    • ข้อจำกัดเกี่ยวกับเวลาสำหรับพนักงานประจำหรือผู้ที่ลาพักร้อน
    • การจํากัดตำแหน่งทางภูมิศาสตร์เพื่อป้องกันไม่ให้มีการเข้าถึงจากสถานที่บางแห่ง หรือ เครือข่าย
    • การเข้าถึงตามบทบาทหรือประเภทของผู้ใช้ตามที่ผู้ให้บริการข้อมูลประจำตัวยืนยัน

ยืนยันการกำหนดค่า KACLS

หากต้องการตรวจสอบว่า KACLS ใช้งานอยู่และกำหนดค่าอย่างถูกต้องหรือไม่ ให้ส่ง status การตรวจสอบภายในด้วยตนเอง เช่น การช่วยเหลือพิเศษ KMS หรือประสิทธิภาพของระบบการบันทึกได้เช่นกัน