หน้านี้ได้รับการแปลโดย Cloud Translation API

กําหนดค่าบริการ

Key Access Control List Service (KACLS) ได้รับการกำหนดค่าโดยไม่มี ที่เกี่ยวข้อง ด้านล่างนี้เป็นรายละเอียดเกี่ยวกับการตั้งค่าทั่วไปและแนวทางปฏิบัติแนะนำสำหรับ กำลังกำหนดค่าบริการของคุณ

การตั้งค่าการดำเนินการ

API ควรใช้งานได้ผ่าน HTTPS ที่มี TLS 1.2 ขึ้นไปเท่านั้น ใบรับรอง X.509
เซิร์ฟเวอร์ API ควรจัดการ CORS เพื่อเข้าถึงปลายทางที่ได้รับอนุญาตของ Google: https://client-side-encryption.google.com
เราขอแนะนำเวลาในการตอบสนองสูงสุด 200 มิลลิวินาทีสำหรับคำขอ 99%

การตั้งค่าผู้ให้บริการการให้สิทธิ์

ใช้การตั้งค่าด้านล่างเพื่อตรวจสอบเอกสารที่ออกโดย Google โทเค็นการให้สิทธิ์ระหว่าง การเข้ารหัสฝั่งไคลเอ็นต์ (CSE):

บริบทของแอปพลิเคชัน Google Workspace	URL ปลายทางของ JWKS	ผู้ออกโทเค็นการให้สิทธิ์	กลุ่มเป้าหมายโทเค็นการให้สิทธิ์
Google ไดรฟ์และเครื่องมือการสร้างเนื้อหาแบบทำงานร่วมกัน เช่น เอกสารและชีต	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`cse-authorization`
พบกับ CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`cse-authorization`
CSE ของปฏิทิน	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`cse-authorization`
CSE ของ Gmail	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`cse-authorization`
การย้ายข้อมูล KACLS	`https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`cse-authorization`

การตั้งค่าผู้ให้บริการข้อมูลประจำตัว

การตั้งค่าด้านล่างนี้จำเป็นสำหรับผู้ให้บริการข้อมูลประจำตัว (IdP) ที่ไม่ใช่ Google แต่ละราย บริการใช้งานได้กับ:

วิธีตรวจสอบโทเค็น โดยทั่วไปโทเค็นจะได้รับการตรวจสอบโดย URL ไปยัง JSON Web Key Set (JWKS) แต่อาจเป็นคีย์สาธารณะก็ได้
ค่าผู้ออกและกลุ่มเป้าหมาย: ช่อง iss (ผู้ออกใบรับรอง) และ aud (กลุ่มเป้าหมาย) ค่าที่ผู้ให้บริการข้อมูลประจำตัวแต่ละรายใช้

การตั้งค่าขอบเขต

ระบบจะใช้แนวคิดขอบเขตในการเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace เพื่อใช้ควบคุมการเข้าถึงคีย์การเข้ารหัสผ่าน KACLS ขอบเขต คือการตรวจสอบเพิ่มเติมที่ไม่บังคับเกี่ยวกับการตรวจสอบสิทธิ์และการให้สิทธิ์ ภายใน KACLS

เส้นขอบสามารถใช้เพื่อทำสิ่งต่อไปนี้

อนุญาตให้เฉพาะผู้ใช้ในโดเมนในรายการที่อนุญาตถอดรหัสคีย์ได้
ผู้ใช้ที่บล็อกไว้ เช่น ผู้ดูแลระบบ Google Workspace
ระบุข้อจำกัดขั้นสูง ดังตัวอย่างต่อไปนี้
- ข้อจำกัดเกี่ยวกับเวลาสำหรับพนักงานประจำหรือผู้ที่ลาพักร้อน
- การจํากัดตำแหน่งทางภูมิศาสตร์เพื่อป้องกันไม่ให้มีการเข้าถึงจากสถานที่บางแห่ง หรือ เครือข่าย
- การเข้าถึงตามบทบาทหรือประเภทของผู้ใช้ตามที่ผู้ให้บริการข้อมูลประจำตัวยืนยัน

ยืนยันการกำหนดค่า KACLS

หากต้องการตรวจสอบว่า KACLS ใช้งานอยู่และกำหนดค่าอย่างถูกต้องหรือไม่ ให้ส่ง status การตรวจสอบภายในด้วยตนเอง เช่น การช่วยเหลือพิเศษ KMS หรือประสิทธิภาพของระบบการบันทึกได้เช่นกัน