अपनी सेवा कॉन्फ़िगर करें

आपकी कुंजी ऐक्सेस कंट्रोल लिस्ट सेवा (केएसीएलएस) को Google की मदद के बिना कॉन्फ़िगर किया गया है. यहां सेवा को कॉन्फ़िगर करने के लिए, सामान्य सेटिंग और सबसे सही तरीकों के बारे में जानकारी दी गई है.

ऑपरेशनल सेटिंग

एपीआई सिर्फ़ एचटीटीपीएस पर उपलब्ध होना चाहिए. साथ ही, इसमें TLS 1.2 या इसके बाद का वर्शन और मान्य X.509 सर्टिफ़िकेट होना चाहिए.
Google के ऑथराइज़ किए गए एंडपॉइंट https://client-side-encryption.google.com को ऐक्सेस करने के लिए, एपीआई सर्वर को CORS को मैनेज करना चाहिए.
हमारा सुझाव है कि 99% अनुरोधों के लिए, ज़्यादा से ज़्यादा 200 मि॰से॰ की लेटेन्सी होनी चाहिए.

अनुमति देने वाली कंपनी की सेटिंग

क्लाइंट-साइड एन्क्रिप्शन (सीएसई) के दौरान, Google की ओर से जारी किए गए अनुमति टोकन की पुष्टि करने के लिए, यहां दी गई सेटिंग का इस्तेमाल करें:

Google Workspace ऐप्लिकेशन का कॉन्टेक्स्ट	JWKS एंडपॉइंट यूआरएल	ऑथराइज़ेशन टोकन जारी करने वाला	अनुमति वाले टोकन की ऑडियंस
Google Drive और साथ मिलकर कॉन्टेंट बनाने वाले टूल, जैसे कि Docs और Sheets	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`cse-authorization`
Meet CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`cse-authorization`
Calendar CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`cse-authorization`
Gmail CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`cse-authorization`
KACLS माइग्रेशन	`https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`cse-authorization`

आइडेंटिटी प्रोवाइडर की सेटिंग

यहां दी गई सेटिंग, Google के अलावा किसी अन्य आइडेंटिटी प्रोवाइडर (आईडीपी) के लिए ज़रूरी हैं. आपकी सेवा, इन आईडीपी के साथ काम करती है:

टोकन की पुष्टि करने का तरीका. आम तौर पर, टोकन की पुष्टि JSON वेब की सेट (JWKS) फ़ाइल के यूआरएल से की जाती है. हालांकि, इनकी पुष्टि सार्वजनिक कुंजियों से भी की जा सकती है.
जारी करने वाले और ऑडियंस की वैल्यू: iss (जारी करने वाला) और aud (ऑडियंस) फ़ील्ड की वैल्यू, जिनका इस्तेमाल हर आइडेंटिटी प्रोवाइडर करता है.

सीमा की सेटिंग

Google Workspace के क्लाइंट-साइड एन्क्रिप्शन (सीएसई) में पेरीमीटर के कॉन्सेप्ट का इस्तेमाल, KACLS का इस्तेमाल करके एन्क्रिप्शन कुंजियों का ऐक्सेस कंट्रोल करने के लिए किया जाता है. पेरीमीटर, KACLS में पुष्टि करने और अनुमति देने वाले टोकन की अतिरिक्त जांच करते हैं. हालांकि, यह जांच करना ज़रूरी नहीं है.

जियोफ़ेंसिंग का इस्तेमाल इन कामों के लिए किया जा सकता है:

सिर्फ़ अनुमति वाली सूची में शामिल डोमेन के उपयोगकर्ताओं को कुंजियां डिक्रिप्ट करने की अनुमति दें.
ब्लॉक की गई सूची में शामिल उपयोगकर्ता, जैसे कि Google Workspace एडमिन.
ऐडवांस पाबंदियां लागू करें. उदाहरण के लिए:
- फ़ोन पर मौजूद कर्मचारियों या छुट्टी पर गए लोगों के लिए, समय के हिसाब से पाबंदियां
- जगह की जानकारी के ऐक्सेस से जुड़ी पाबंदियां, ताकि कुछ जगहों या नेटवर्क से ऐक्सेस न किया जा सके
- उपयोगकर्ता की भूमिका या टाइप के आधार पर ऐक्सेस, जैसा कि पहचान देने वाली सेवा ने दावा किया है

ध्यान दें: Google Workspace का कोई ग्राहक, privilegedunwrap के साथ Google Takeout का अनुरोध भेजता है, तब टेकआउट पेरीमीटर का इस्तेमाल किया जाता है. डेटा ट्रांसफ़र करने की सुविधा की मदद से, KACLS को अनरैप किया जा सकता है. इससे Google Workspace के सामान्य ACL को बायपास किया जा सकता है. इसलिए, सदस्यता सिर्फ़ भरोसेमंद लोगों को दी जानी चाहिए. हमारा सुझाव है कि डेटा ट्रांसफ़र करने के लिए, ऐसे IdP का इस्तेमाल किया जाए जिसके लिए दो चरणों में पुष्टि (2FA) करना ज़रूरी हो.

अपने KACLS कॉन्फ़िगरेशन की पुष्टि करना

यह देखने के लिए कि आपका KACLS चालू है और सही तरीके से कॉन्फ़िगर किया गया है या नहीं, status अनुरोध भेजें. इसके अलावा, इंटरनल सेल्फ चेक भी किए जा सकते हैं. जैसे, KMS की ऐक्सेसिबिलिटी या लॉगिंग सिस्टम की सेहत.