Seu serviço de lista de controle de acesso a chaves (KACLS) é configurado sem a participação do Google. Confira abaixo detalhes sobre configurações comuns e práticas recomendadas para configurar seu serviço.
Configurações operacionais
A API só pode estar disponível por HTTPS com TLS 1.2 ou mais recente e um certificado X.509 válido.
O servidor de API precisa processar o CORS para acessar o endpoint autorizado do Google:
https://client-side-encryption.google.com.Recomendamos uma latência máxima de 200 ms para 99% das solicitações.
Configurações do provedor de autorização
Use as configurações abaixo para validar os tokens de autorização emitidos pelo Google durante a criptografia do lado do cliente (CSE):
| Contexto do aplicativo do Google Workspace | URL do endpoint JWKS | Emissor do token de autorização | Público-alvo do token de autorização |
|---|---|---|---|
| Google Drive e ferramentas de criação de conteúdo colaborativo, como Documentos e Planilhas | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| CSE do Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| CSE da Agenda | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| CSE do Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| Migração do KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Configurações do provedor de identidade
As configurações abaixo são necessárias para cada provedor de identidade (IdP) que não seja do Google e que seu serviço usa:
- Método para validar tokens. Os tokens geralmente são validados pelo URL de um arquivo de conjunto de chaves da Web JSON (JWKS), mas também podem ser as próprias chaves públicas.
- Valores de emissor e público-alvo:os valores dos campos
iss(emissor) eaud(público-alvo) usados por cada provedor de identidade.
Configurações de perímetro
O conceito de perímetro na criptografia do lado do cliente (CSE) do Google Workspace é usado para fornecer controle de acesso às chaves de criptografia pelas KACLS. Os perímetros são verificações adicionais opcionais realizadas nos tokens de autenticação e autorização no KACLS.
Os perímetros podem ser usados para:
- Só permitir que usuários em domínios na lista de permissões descriptografem chaves.
- Bloqueie usuários, como administradores do Google Workspace.
- Forneça restrições avançadas. Exemplo:
- Restrições com base no tempo para funcionários de plantão ou pessoas de férias
- Restrições de geolocalização para impedir o acesso de locais ou redes específicas
- Acesso com base na função ou no tipo de usuário, conforme declarado por um provedor de identidade
Verificar a configuração do KACLS
Para verificar se o KACLS está ativo e configurado corretamente, envie uma solicitação status. Também é possível realizar autoverificações internas, como acessibilidade do KMS ou integridade do sistema de geração de registros.