配置服务

您的密钥访问控制列表服务 (KACLS) 是您自行配置的,Google 没有参与。以下详细介绍了配置服务的常见设置和最佳实践。

运营设置

  • 该 API 应仅通过具有有效 X.509 证书的 TLS 1.2 或更高版本的 HTTPS 提供。

  • API 服务器应处理 CORS 以访问 Google 的已获授权端点:https://client-side-encryption.google.com

  • 我们建议 99% 的请求的延迟时间不超过 200 毫秒。

授权提供程序设置

在客户端加密 (CSE) 期间,请使用以下设置来验证 Google 签发的授权令牌

Google Workspace 应用情境 JWKS 端点网址 授权令牌颁发者 授权令牌受众群体
Google 云端硬盘以及 Google 文档和 Google 表格等协作内容创作工具 https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com gsuitecse-tokenissuer-drive@system.gserviceaccount.com cse-authorization
Meet CSE https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com gsuitecse-tokenissuer-meet@system.gserviceaccount.com cse-authorization
日历 CSE https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com gsuitecse-tokenissuer-calendar@system.gserviceaccount.com cse-authorization
Gmail CSE https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com gsuitecse-tokenissuer-gmail@system.gserviceaccount.com cse-authorization
KACLS 迁移 https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com apps-security-cse-kaclscommunication@system.gserviceaccount.com cse-authorization

身份提供商设置

您的服务与每个非 Google 身份提供方 (IdP) 搭配使用时,都必须进行以下设置:

  • 用于验证令牌的方法。令牌通常通过 JSON Web 密钥集 (JWKS) 文件的网址进行验证,但也可以是公钥本身。
  • Issuer 和 audience 值:每个身份提供程序使用的 iss(issuer)和 aud(audience)字段值。

边界设置

Google Workspace 客户端加密 (CSE) 中的边界概念用于通过 KACLS 对加密密钥提供访问控制。边界是对 KACLS 中的身份验证和授权令牌执行的额外可选检查。

边界可用于:

  • 仅允许列入许可名单的网域中的用户解密密钥。
  • 将用户列入屏蔽名单,例如 Google Workspace 管理员。
  • 提供高级限制。例如:
    • 针对值班员工或休假人员设置基于时间的限制
    • 地理位置限制,用于阻止从特定位置或网络进行访问
    • 基于用户角色或类型的访问权限(由身份提供程序断言)

验证您的 KACLS 配置

如需检查 KACLS 是否处于活动状态且配置是否正确,请发送 status 请求。还可以执行内部自检,例如 KMS 可用性或日志记录系统运行状况。