Usługa listy kontroli dostępu do kluczy (KACLS) jest konfigurowana bez udziału Google. Poniżej znajdziesz szczegóły dotyczące typowych ustawień i sprawdzonych metod konfigurowania usługi.
Ustawienia operacyjne
Interfejs API powinien być dostępny tylko przez HTTPS z TLS w wersji 1.2 lub nowszej z ważnym certyfikatem X.509.
Serwer interfejsu API powinien obsługiwać CORS, aby uzyskać dostęp do autoryzowanego punktu końcowego Google:
https://client-side-encryption.google.com.Zalecamy, aby w przypadku 99% żądań opóźnienie nie przekraczało 200 ms.
Ustawienia dostawcy autoryzacji
Aby weryfikować wydane przez Google tokeny autoryzacji podczas szyfrowania po stronie klienta, użyj tych ustawień:
| Kontekst aplikacji Google Workspace | URL punktu końcowego JWKS | Wydawca tokena autoryzacji | Odbiorcy tokena autoryzacji |
|---|---|---|---|
| Dysk Google i narzędzia do wspólnego tworzenia treści, takie jak Dokumenty i Arkusze | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| Szyfrowanie po stronie klienta w Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| Szyfrowanie po stronie klienta w Kalendarzu | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| Szyfrowanie po stronie klienta w Gmailu | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| Migracja KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Ustawienia dostawcy tożsamości
Poniższe ustawienia są wymagane w przypadku każdego dostawcy tożsamości innego niż Google, z którym współpracuje Twoja usługa:
- Metoda weryfikacji tokenów. Tokeny są zwykle weryfikowane przez adres URL do pliku zestawu kluczy sieciowych JSON (JWKS), ale mogą to być też same klucze publiczne.
- Wartości wystawcy i odbiorców: wartości pól
iss(wystawca) iaud(odbiorcy) używane przez każdego dostawcę tożsamości.
Ustawienia granicy
Koncepcja perymetru w szyfrowaniu po stronie klienta Google Workspace służy do kontrolowania dostępu do kluczy szyfrowania za pomocą usługi KACLS. Obwody to opcjonalne dodatkowe kontrole przeprowadzane na tokenach uwierzytelniania i autoryzacji w ramach KACLS.
Perymetry mogą służyć do:
- Zezwalaj na odszyfrowywanie kluczy tylko użytkownikom z domen umieszczonych na liście dozwolonych.
- Dodawanie użytkowników, np. administratorów Google Workspace, do listy zablokowanych.
- Podaj zaawansowane ograniczenia. Na przykład:
- Ograniczenia czasowe dla pracowników dyżurujących lub osób na urlopie
- Ograniczenia geolokalizacji, które uniemożliwiają dostęp z określonych lokalizacji lub sieci
- Dostęp na podstawie roli lub typu użytkownika, zgodnie z zapewnieniami dostawcy tożsamości
Sprawdzanie konfiguracji KACLS
Aby sprawdzić, czy KACLS jest aktywny i prawidłowo skonfigurowany, wyślij żądanie status. Można też przeprowadzać wewnętrzne autotesty, takie jak dostępność KMS czy stan systemu logowania.