Anahtar Erişim Kontrol Listesi Hizmetiniz (KACLS), Google'ın katılımı olmadan yapılandırılır. Aşağıda, hizmetinizi yapılandırmak için kullanılan yaygın ayarlar ve en iyi uygulamalar hakkında ayrıntılı bilgi verilmektedir.
Operasyonel ayarlar
API yalnızca geçerli bir X.509 sertifikasıyla TLS 1.2 veya sonraki sürümlerin kullanıldığı HTTPS üzerinden kullanılabilir olmalıdır.
API sunucusu, Google'ın yetkili uç noktasına (
https://client-side-encryption.google.com) erişmek için CORS'u işlemelidir.İsteklerin% 99'u için maksimum 200 ms gecikme öneririz.
Yetkilendirme sağlayıcı ayarları
İstemci tarafı şifreleme (İTŞ) sırasında Google tarafından verilen yetkilendirme jetonlarını doğrulamak için aşağıdaki ayarları kullanın:
| Google Workspace uygulama bağlamı | JWKS uç nokta URL'si | Yetkilendirme jetonunu veren | Yetkilendirme jetonu kitlesi |
|---|---|---|---|
| Google Drive ve Dokümanlar ile E-Tablolar gibi ortak çalışmaya dayalı içerik oluşturma araçları | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| Meet İTŞ | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| Takvim İTŞ | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| Gmail CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| KACLS taşıma | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Kimlik sağlayıcı ayarları
Hizmetinizin çalıştığı her Google dışı kimlik sağlayıcı (IdP) için aşağıdaki ayarlar gereklidir:
- Jetonları doğrulama yöntemi. Jetonlar genellikle bir JSON Web Key Set (JWKS) dosyasına giden URL ile doğrulanır ancak ortak anahtarların kendileri de olabilir.
- Düzenleyen ve kitle değerleri: Her kimlik sağlayıcı tarafından kullanılan
iss(düzenleyen) veaud(kitle) alan değerleri.
Çevre ayarları
Google Workspace istemci tarafı şifreleme (İTŞ) özelliğindeki çevre kavramı, KACLS aracılığıyla şifreleme anahtarlarına erişim kontrolü sağlamak için kullanılır. Perimetreler, KACLS'deki kimlik doğrulama ve yetkilendirme jetonlarında gerçekleştirilen isteğe bağlı ek kontrollerdir.
Çevreler şu amaçlarla kullanılabilir:
- Yalnızca izin verilenler listesindeki alanlarda bulunan kullanıcıların anahtarların şifresini çözmesine izin verin.
- Google Workspace yöneticileri gibi kullanıcıları engelleme listesine ekleyebilirsiniz.
- Gelişmiş kısıtlamalar sağlayın. Örneğin:
- Nöbetçi çalışanlar veya tatildeki kişiler için zamana dayalı kısıtlamalar
- Belirli konumlardan veya ağlardan erişimi engellemek için coğrafi konum kısıtlamaları
- Kimlik sağlayıcı tarafından onaylandığı şekilde, kullanıcı rolüne veya türüne dayalı erişim
KACLS yapılandırmanızı doğrulama
KACLS'nizin etkin olup olmadığını ve doğru şekilde yapılandırılıp yapılandırılmadığını kontrol etmek için bir status isteği gönderin. KMS erişilebilirliği veya günlük kaydı sistemi sağlığı gibi dahili kendi kendine kontroller de yapılabilir.