ההגדרות הבאות נדרשות לכל ספק זהויות (IdP) שאינו של Google שהשירות שלכם עובד איתו:
שיטה לאימות אסימונים. בדרך כלל, האסימונים מאומתים על ידי כתובת ה-URL לקובץ JSON Web Key Set (JWKS), אבל יכול להיות שהם גם המפתחות הציבוריים עצמם.
ערכי המנפיק והקהל: הערכים של השדות iss (מנפיק) ו-aud (קהל) שבהם נעשה שימוש בכל ספק זהויות.
הגדרות ההיקף
המושג 'היקף' בהצפנה מצד הלקוח (CSE) ב-Google Workspace משמש כדי לספק בקרת גישה למפתחות ההצפנה באמצעות KACLS. ההיקפים הם בדיקות נוספות אופציונליות שמבוצעות על אסימוני האימות וההרשאה בתוך KACLS.
אפשר להשתמש בגבולות כדי:
רק משתמשים בדומיינים שברשימת ההיתרים יכולים לפענח מפתחות.
משתמשים ברשימת החסימה, כמו אדמינים ב-Google Workspace.
הגבלות מתקדמות. לדוגמה:
הגבלות לפי שעות לעובדים שזמינים לשיחות או לאנשים שנמצאים בחופשה
הגבלות מיקום גיאוגרפי כדי למנוע גישה ממיקומים או מרשתות ספציפיים
גישה שמבוססת על תפקיד או סוג המשתמש, כפי שנקבע על ידי ספק הזהויות
אימות ההגדרה של KACLS
כדי לבדוק אם KACLS פעיל ומוגדר בצורה נכונה, שולחים בקשת status. אפשר גם לבצע בדיקות עצמיות פנימיות, כמו נגישות ל-KMS או תקינות של מערכת הרישום ביומן.
[[["התוכן קל להבנה","easyToUnderstand","thumb-up"],["התוכן עזר לי לפתור בעיה","solvedMyProblem","thumb-up"],["סיבה אחרת","otherUp","thumb-up"]],[["חסרים לי מידע או פרטים","missingTheInformationINeed","thumb-down"],["התוכן מורכב מדי או עם יותר מדי שלבים","tooComplicatedTooManySteps","thumb-down"],["התוכן לא עדכני","outOfDate","thumb-down"],["בעיה בתרגום","translationIssue","thumb-down"],["בעיה בדוגמאות/בקוד","samplesCodeIssue","thumb-down"],["סיבה אחרת","otherDown","thumb-down"]],["עדכון אחרון: 2025-08-29 (שעון UTC)."],[[["\u003cp\u003eYour Key Access Control List Service (KACLS) is configured independently by you, allowing you to control access to encryption keys for Google Workspace Client-side encryption (CSE).\u003c/p\u003e\n"],["\u003cp\u003eKACLS requires specific operational settings like HTTPS with TLS 1.2 or later, CORS handling for Google's authorized endpoint, and a recommended latency of under 200ms for most requests.\u003c/p\u003e\n"],["\u003cp\u003eAuthorization settings need to be configured for Google Workspace applications like Drive, Meet, Calendar, and Gmail, enabling validation of Google-issued authorization tokens during CSE.\u003c/p\u003e\n"],["\u003cp\u003ePerimeter settings offer optional but powerful access control by allowing or blocking users based on criteria like domains, user roles, time, and location, enhancing security for encryption keys.\u003c/p\u003e\n"],["\u003cp\u003eIdentity Provider settings are crucial for non-Google Identity Providers, requiring you to specify methods for validating tokens and the issuer and audience values used by each provider.\u003c/p\u003e\n"]]],["KACLS configuration requires the API to use HTTPS with TLS 1.2 or later, handle CORS for `https://client-side-encryption.google.com`, and maintain a maximum 200ms latency. It uses Google-issued authorization tokens, validated via JWKS endpoints specific to Google Workspace applications. Non-Google Identity Provider settings require token validation methods, issuer, and audience values. Perimeters, an optional access control, can allow or block access based on domain, user, time, or location. Verification is done via a status request.\n"],null,[]]
