Dịch vụ Danh sách kiểm soát quyền truy cập khoá (KACLS) được định cấu hình mà không có sự tham gia của Google. Dưới đây là thông tin chi tiết về các chế độ cài đặt phổ biến và các phương pháp hay nhất để định cấu hình dịch vụ.
Chế độ cài đặt hoạt động
API chỉ được cung cấp qua HTTPS với TLS 1.2 trở lên và chứng chỉ X.509 hợp lệ.
Máy chủ API phải xử lý CORS để truy cập vào điểm cuối được uỷ quyền của Google:
https://client-side-encryption.google.com.Bạn nên đặt độ trễ tối đa là 200 mili giây cho 99% yêu cầu.
Chế độ cài đặt nhà cung cấp uỷ quyền
Sử dụng các chế độ cài đặt bên dưới để xác thực mã thông báo uỷ quyền do Google cấp trong quá trình tính năng mã hoá phía máy khách (CSE):
| Ngữ cảnh ứng dụng Google Workspace | URL điểm cuối JWKS | Tổ chức phát hành mã thông báo uỷ quyền | Đối tượng của mã thông báo uỷ quyền |
|---|---|---|---|
| Google Drive và các công cụ tạo nội dung cộng tác, chẳng hạn như Tài liệu và Trang tính | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| CSE của Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| CSE của Lịch | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| CSE của Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| Di chuyển KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Chế độ cài đặt nhà cung cấp danh tính
Bạn phải thiết lập các chế độ cài đặt bên dưới cho mỗi Nhà cung cấp danh tính (IdP) không phải của Google mà dịch vụ của bạn hoạt động:
- Phương thức xác thực mã thông báo. Thông thường, mã thông báo được xác thực bằng URL đến tệp JSON Web Key Set (JWKS), nhưng cũng có thể là chính các khoá công khai.
- Giá trị của tổ chức phát hành và đối tượng: Giá trị của trường
iss(tổ chức phát hành) vàaud(đối tượng) do mỗi Nhà cung cấp danh tính sử dụng.
Chế độ cài đặt ranh giới
Khái niệm ranh giới trong tính năng mã hoá phía máy khách (CSE) của Google Workspace được dùng để kiểm soát quyền truy cập vào các khoá mã hoá bằng KACLS. Các ranh giới là những bước kiểm tra bổ sung không bắt buộc được thực hiện trên mã thông báo xác thực và uỷ quyền trong KACLS.
Bạn có thể sử dụng ranh giới để:
- Chỉ cho phép người dùng trong các miền có trong danh sách cho phép giải mã khoá.
- Chặn người dùng, chẳng hạn như quản trị viên Google Workspace.
- Cung cấp các quy định hạn chế nâng cao. Ví dụ:
- Quy định hạn chế dựa trên thời gian đối với nhân viên trực điện thoại hoặc người đang nghỉ phép
- Quy định hạn chế về vị trí địa lý để ngăn truy cập từ các vị trí hoặc mạng cụ thể
- Quyền truy cập dựa trên vai trò hoặc loại người dùng, do Nhà cung cấp danh tính xác nhận
Xác minh cấu hình KACLS
Để kiểm tra xem KACLS có đang hoạt động và được định cấu hình đúng cách hay không, hãy gửi yêu cầu
status. Bạn cũng có thể thực hiện các bước tự kiểm tra nội bộ, chẳng hạn như khả năng truy cập KMS hoặc tình trạng hệ thống ghi nhật ký.