設定服務

您的金鑰存取控制清單服務 (KACLS) 設定為沒有 Google 的參與。以下詳細說明商家的常見設定和最佳做法 設定您的服務

作業設定

  • 此 API 只能透過 HTTPS 使用 TLS 1.2 以上版本,並具備有效的 X.509 憑證。

  • API 伺服器應處理 CORS 如要存取 Google 的授權端點:https://client-side-encryption.google.com

  • 建議 99% 的要求延遲時間最長為 200 毫秒。

授權提供者設定

請使用以下設定來驗證 Google 核發的 授權權杖 用戶端加密 (CSE):

Google Workspace 應用程式背景資訊 JWKS 端點網址 授權權杖核發者 授權權杖目標對象
Google 雲端硬碟和協作內容製作工具,例如 Google 文件和試算表 https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com gsuitecse-tokenissuer-drive@system.gserviceaccount.com cse-authorization
認識 CSE https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com gsuitecse-tokenissuer-meet@system.gserviceaccount.com cse-authorization
日曆 CSE https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com gsuitecse-tokenissuer-calendar@system.gserviceaccount.com cse-authorization
Gmail CSE https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com gsuitecse-tokenissuer-gmail@system.gserviceaccount.com cse-authorization
KACLS 遷移 https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com apps-security-cse-kaclscommunication@system.gserviceaccount.com cse-authorization

識別資訊提供者設定

您必須為每個非 Google 識別資訊提供者 (IdP) 設定下列設定 服務支援:

  • 驗證權杖的方法。系統通常會透過指向 JSON Web KeySet (JWKS) 檔案,也可以是公開金鑰本身。
  • 核發者和目標對象值:iss (核發者) 和 aud (目標對象) 欄位 每個識別資訊提供者使用的值。

範圍設定

我們也採用 Google Workspace 用戶端加密 (CSE) 功能的概念 透過 KACLS 提供加密金鑰的存取權控管。週長 是選擇性的額外檢查,可用來驗證與授權 KACLS 內的符記

範圍可用於:

  • 只允許許可網域中的使用者解密金鑰。
  • 封鎖使用者,例如 Google Workspace 管理員。
  • 提供進階限制。例如:
    • 針對值班員工或休假中的員工設定時間限制
    • 地理位置限制,防止使用者從特定位置存取 網路
    • 由識別資訊提供者聲明的使用者角色或類型存取權
,瞭解如何調查及移除這項存取權。

驗證 KACLS 設定

如要檢查 KACLS 是否有效且設定正確,請傳送 status 要求。內部自我檢查 例如 KMS 無障礙功能或記錄系統健康狀態