Key Access Control List Service (KACLS) ได้รับการกำหนดค่าโดยไม่มี ที่เกี่ยวข้อง ด้านล่างนี้เป็นรายละเอียดเกี่ยวกับการตั้งค่าทั่วไปและแนวทางปฏิบัติแนะนำสำหรับ กำลังกำหนดค่าบริการของคุณ
การตั้งค่าการดำเนินการ
API ควรใช้งานได้ผ่าน HTTPS ที่มี TLS 1.2 ขึ้นไปเท่านั้น ใบรับรอง X.509
เซิร์ฟเวอร์ API ควรจัดการ CORS เพื่อเข้าถึงปลายทางที่ได้รับอนุญาตของ Google:
https://client-side-encryption.google.com
เราขอแนะนำเวลาในการตอบสนองสูงสุด 200 มิลลิวินาทีสำหรับคำขอ 99%
การตั้งค่าผู้ให้บริการการให้สิทธิ์
ใช้การตั้งค่าด้านล่างเพื่อตรวจสอบเอกสารที่ออกโดย Google โทเค็นการให้สิทธิ์ระหว่าง การเข้ารหัสฝั่งไคลเอ็นต์ (CSE):
บริบทของแอปพลิเคชัน Google Workspace | URL ปลายทางของ JWKS | ผู้ออกโทเค็นการให้สิทธิ์ | กลุ่มเป้าหมายโทเค็นการให้สิทธิ์ |
---|---|---|---|
Google ไดรฟ์และเครื่องมือการสร้างเนื้อหาแบบทำงานร่วมกัน เช่น เอกสารและชีต | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
พบกับ CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
CSE ของปฏิทิน | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
CSE ของ Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
การย้ายข้อมูล KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
การตั้งค่าผู้ให้บริการข้อมูลประจำตัว
การตั้งค่าด้านล่างนี้จำเป็นสำหรับผู้ให้บริการข้อมูลประจำตัว (IdP) ที่ไม่ใช่ Google แต่ละราย บริการใช้งานได้กับ:
- วิธีตรวจสอบโทเค็น โดยทั่วไปโทเค็นจะได้รับการตรวจสอบโดย URL ไปยัง JSON Web Key Set (JWKS) แต่อาจเป็นคีย์สาธารณะก็ได้
- ค่าผู้ออกและกลุ่มเป้าหมาย: ช่อง
iss
(ผู้ออกใบรับรอง) และaud
(กลุ่มเป้าหมาย) ค่าที่ผู้ให้บริการข้อมูลประจำตัวแต่ละรายใช้
การตั้งค่าขอบเขต
ระบบจะใช้แนวคิดขอบเขตในการเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace เพื่อใช้ควบคุมการเข้าถึงคีย์การเข้ารหัสผ่าน KACLS ขอบเขต คือการตรวจสอบเพิ่มเติมที่ไม่บังคับเกี่ยวกับการตรวจสอบสิทธิ์และการให้สิทธิ์ ภายใน KACLS
เส้นขอบสามารถใช้เพื่อทำสิ่งต่อไปนี้
- อนุญาตให้เฉพาะผู้ใช้ในโดเมนในรายการที่อนุญาตถอดรหัสคีย์ได้
- ผู้ใช้ที่บล็อกไว้ เช่น ผู้ดูแลระบบ Google Workspace
- ระบุข้อจำกัดขั้นสูง ดังตัวอย่างต่อไปนี้
- ข้อจำกัดเกี่ยวกับเวลาสำหรับพนักงานประจำหรือผู้ที่ลาพักร้อน
- การจํากัดตำแหน่งทางภูมิศาสตร์เพื่อป้องกันไม่ให้มีการเข้าถึงจากสถานที่บางแห่ง หรือ เครือข่าย
- การเข้าถึงตามบทบาทหรือประเภทของผู้ใช้ตามที่ผู้ให้บริการข้อมูลประจำตัวยืนยัน
ยืนยันการกำหนดค่า KACLS
หากต้องการตรวจสอบว่า KACLS ใช้งานอยู่และกำหนดค่าอย่างถูกต้องหรือไม่ ให้ส่ง
status
การตรวจสอบภายในด้วยตนเอง
เช่น การช่วยเหลือพิเศษ KMS หรือประสิทธิภาพของระบบการบันทึกได้เช่นกัน