Usługa listy kontroli dostępu do kluczy (KACLS) jest skonfigurowana bez klucza Google w danej kategorii. Poniżej znajdziesz szczegółowe informacje o typowych ustawieniach i sprawdzonych metodach dotyczących podczas konfigurowania usługi.
Ustawienia operacyjne
Interfejs API powinien być dostępny tylko w ramach protokołu HTTPS z protokołem TLS 1.2 lub nowszym z prawidłową Certyfikat X.509.
Serwer interfejsu API powinien obsługiwać CORS aby uzyskać dostęp do autoryzowanego punktu końcowego Google:
https://client-side-encryption.google.com.W przypadku 99% żądań zalecamy maksymalny czas oczekiwania wynoszący 200 ms.
Ustawienia dostawcy autoryzacji
Użyj poniższych ustawień, aby sprawdzić, czy dokument został wysłany przez Google. tokenów autoryzacji podczas szyfrowanie po stronie klienta:
| Kontekst aplikacji Google Workspace | URL punktu końcowego JWKS | Wydawca tokena autoryzacji | Odbiorcy tokena autoryzacji |
|---|---|---|---|
| Dysk Google i narzędzia do wspólnego tworzenia treści, takie jak Dokumenty i Arkusze | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| Szyfrowanie po stronie klienta w Google Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| Szyfrowanie po stronie klienta w kalendarzu | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| Szyfrowanie po stronie klienta w Gmailu | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| Migracja KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Ustawienia dostawcy tożsamości
Poniższe ustawienia są wymagane w przypadku każdego dostawcy tożsamości innego niż Google usługa działa z:
- Metoda weryfikacji tokenów. Tokeny są zwykle weryfikowane za pomocą adresu URL JSON Web Key Set (JWKS), ale mogą to być też same klucze publiczne.
- Wartości wydawcy i odbiorców: pola
iss(wydawca) iaud(odbiorcy). używane przez poszczególnych dostawców tożsamości.
Ustawienia granicy
W szyfrowaniu po stronie klienta w Google Workspace używane jest pojęcie granicy w celu zapewnienia kontroli dostępu do kluczy szyfrowania za pomocą KACLS. granice; to opcjonalne, dodatkowe kontrole przeprowadzane uwierzytelniania i autoryzacji tokeny w KACLS.
Granice można stosować do:
- Zezwalaj na odszyfrowywanie kluczy tylko użytkownikom z domen umieszczonych na liście dozwolonych.
- dodawanie użytkowników do listy zablokowanych, na przykład administratorów Google Workspace;
- Wprowadź zaawansowane ograniczenia. Na przykład:
- Ograniczenia czasowe dotyczące pracowników dyżurujących lub osób na urlopie
- ograniczenia geolokalizacji, by uniemożliwić dostęp z określonych lokalizacji; sieci
- Dostęp na podstawie roli lub typu użytkownika określony przez dostawcę tożsamości
Weryfikowanie konfiguracji KACLS
Aby sprawdzić, czy KACLS jest aktywne i skonfigurowane prawidłowo, wyślij
status. wewnętrzne testy,
np. ułatwienia dostępu KMS
czy logowania stanu systemu.