您的金鑰存取控制清單服務 (KACLS) 設定為沒有 Google 的參與。以下詳細說明商家的常見設定和最佳做法 設定您的服務
作業設定
此 API 只能透過 HTTPS 使用 TLS 1.2 以上版本,並具備有效的 X.509 憑證。
API 伺服器應處理 CORS 如要存取 Google 的授權端點:
https://client-side-encryption.google.com
。建議 99% 的要求延遲時間最長為 200 毫秒。
授權提供者設定
請使用以下設定來驗證 Google 核發的 授權權杖 用戶端加密 (CSE):
Google Workspace 應用程式背景資訊 | JWKS 端點網址 | 授權權杖核發者 | 授權權杖目標對象 |
---|---|---|---|
Google 雲端硬碟和協作內容製作工具,例如 Google 文件和試算表 | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
認識 CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
日曆 CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
Gmail CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
KACLS 遷移 | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
識別資訊提供者設定
您必須為每個非 Google 識別資訊提供者 (IdP) 設定下列設定 服務支援:
- 驗證權杖的方法。系統通常會透過指向 JSON Web KeySet (JWKS) 檔案,也可以是公開金鑰本身。
- 核發者和目標對象值:
iss
(核發者) 和aud
(目標對象) 欄位 每個識別資訊提供者使用的值。
範圍設定
我們也採用 Google Workspace 用戶端加密 (CSE) 功能的概念 透過 KACLS 提供加密金鑰的存取權控管。週長 是選擇性的額外檢查,可用來驗證與授權 KACLS 內的符記
範圍可用於:
- 只允許許可網域中的使用者解密金鑰。
- 封鎖使用者,例如 Google Workspace 管理員。
- 提供進階限制。例如:
- 針對值班員工或休假中的員工設定時間限制
- 地理位置限制,防止使用者從特定位置存取 網路
- 由識別資訊提供者聲明的使用者角色或類型存取權
驗證 KACLS 設定
如要檢查 KACLS 是否有效且設定正確,請傳送
status
要求。內部自我檢查
例如 KMS 無障礙功能或記錄系統健康狀態