設定服務

您的金鑰存取控制清單服務 (KACLS) 設定為沒有 Google 的參與。以下詳細說明商家的常見設定和最佳做法 設定您的服務

作業設定

• 此 API 只能透過 HTTPS 使用 TLS 1.2 以上版本，並具備有效的 X.509 憑證。

• API 伺服器應處理 CORS 如要存取 Google 的授權端點：https://client-side-encryption.google.com。

• 建議 99% 的要求延遲時間最長為 200 毫秒。

授權提供者設定

請使用以下設定來驗證 Google 核發的 授權權杖 用戶端加密 (CSE)：

Google Workspace 應用程式背景資訊	JWKS 端點網址	授權權杖核發者	授權權杖目標對象
Google 雲端硬碟和協作內容製作工具，例如 Google 文件和試算表	https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com	gsuitecse-tokenissuer-drive@system.gserviceaccount.com	cse-authorization
認識 CSE	https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com	gsuitecse-tokenissuer-meet@system.gserviceaccount.com	cse-authorization
日曆 CSE	https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com	gsuitecse-tokenissuer-calendar@system.gserviceaccount.com	cse-authorization
Gmail CSE	https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com	gsuitecse-tokenissuer-gmail@system.gserviceaccount.com	cse-authorization
KACLS 遷移	https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com	apps-security-cse-kaclscommunication@system.gserviceaccount.com	cse-authorization

識別資訊提供者設定

您必須為每個非 Google 識別資訊提供者 (IdP) 設定下列設定 服務支援：

• 驗證權杖的方法。系統通常會透過指向 JSON Web KeySet (JWKS) 檔案，也可以是公開金鑰本身。
• 核發者和目標對象值：iss (核發者) 和 aud (目標對象) 欄位 每個識別資訊提供者使用的值。

範圍設定

我們也採用 Google Workspace 用戶端加密 (CSE) 功能的概念 透過 KACLS 提供加密金鑰的存取權控管。週長 是選擇性的額外檢查，可用來驗證與授權 KACLS 內的符記

範圍可用於：

• 只允許許可網域中的使用者解密金鑰。
• 封鎖使用者，例如 Google Workspace 管理員。
• 提供進階限制。例如：
  • 針對值班員工或休假中的員工設定時間限制
  • 地理位置限制，防止使用者從特定位置存取 網路
  • 由識別資訊提供者聲明的使用者角色或類型存取權

，瞭解如何調查及移除這項存取權。

驗證 KACLS 設定

如要檢查 KACLS 是否有效且設定正確，請傳送 status 要求。內部自我檢查 例如 KMS 無障礙功能或記錄系統健康狀態