आपकी कुंजी ऐक्सेस कंट्रोल लिस्ट सेवा (केएसीएलएस) को Google के बिना कॉन्फ़िगर किया गया है. यहां सामान्य सेटिंग के बारे में जानकारी दी गई है. साथ ही, अपनी सेवा को कॉन्फ़िगर करने के सबसे सही तरीकों के बारे में भी बताया गया है.
ऑपरेशनल सेटिंग
एपीआई सिर्फ़ एचटीटीपीएस के ज़रिए उपलब्ध होना चाहिए. साथ ही, यह TLS 1.2 या इसके बाद के वर्शन के साथ काम करना चाहिए. साथ ही, इसमें मान्य X.509 सर्टिफ़िकेट होना चाहिए.
Google के ऑथराइज़ किए गए एंडपॉइंट:
https://client-side-encryption.google.comको ऐक्सेस करने के लिए, एपीआई सर्वर को CORS मैनेज करना चाहिए.हमारा सुझाव है कि 99% अनुरोधों के लिए, इंतज़ार का समय ज़्यादा से ज़्यादा 200 मिलीसेकंड हो.
अनुमति देने वाली कंपनी की सेटिंग
क्लाइंट-साइड एन्क्रिप्शन (सीएसई) के दौरान, Google से जारी किए गए अनुमति टोकन की पुष्टि करने के लिए, यहां दी गई सेटिंग का इस्तेमाल करें:
| Google Workspace ऐप्लिकेशन का कॉन्टेक्स्ट | JWKS एंडपॉइंट यूआरएल | ऑथराइज़ेशन टोकन जारी करने वाली संस्था | अनुमति देने वाले टोकन की ऑडियंस |
|---|---|---|---|
| Google Drive और साथ मिलकर कॉन्टेंट बनाने वाले टूल, जैसे कि Docs और Sheets | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| Meet की सीएसई सुविधा | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| Calendar में सीएसई (क्लाइंट-साइड एन्क्रिप्शन) सुविधा | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| Gmail सीएसई | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| KACLS माइग्रेशन | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
पहचान देने वाली सेवा की सेटिंग
आपकी सेवा, Google से बाहर के हर ऐसे आइडेंटिटी प्रोवाइडर (आईडीपी) के साथ काम करती है जिसके लिए यहां दी गई सेटिंग ज़रूरी हैं:
- टोकन की पुष्टि करने का तरीका. आम तौर पर, टोकन की पुष्टि, JSON वेब पासकोड सेट (JWKS) फ़ाइल के यूआरएल से की जाती है. हालांकि, सार्वजनिक पासकोड से भी पुष्टि की जा सकती है.
- आइडेंटिफ़ायर जारी करने वाली संस्था और ऑडियंस की वैल्यू: हर आइडेंटिटी प्रोवाइडर,
iss(आइडेंटिफ़ायर जारी करने वाली संस्था) औरaud(ऑडियंस) फ़ील्ड की वैल्यू का इस्तेमाल करता है.
परिधि की सेटिंग
Google Workspace के क्लाइंट-साइड एन्क्रिप्शन (सीएसई) में, परिधि के कॉन्सेप्ट का इस्तेमाल, केएसीएलएस के ज़रिए एन्क्रिप्शन कुंजियों का ऐक्सेस कंट्रोल देने के लिए किया जाता है. परिधि, KACLS में पुष्टि करने और अनुमति देने वाले टोकन पर की जाने वाली अतिरिक्त जांच हैं. हालांकि, ये जांच करना ज़रूरी नहीं है.
पेरिमीटर का इस्तेमाल इन कामों के लिए किया जा सकता है:
- अनुमति वाली सूची में शामिल डोमेन के उपयोगकर्ताओं को ही पासकोड को डिक्रिप्ट करने की अनुमति दें.
- Google Workspace एडमिन जैसे उपयोगकर्ताओं को ब्लॉकलिस्ट में जोड़ना.
- बेहतर पाबंदियां दें. उदाहरण के लिए:
- कॉल पर रहने वाले कर्मचारियों या छुट्टियों पर रहने वाले लोगों के लिए, समय के हिसाब से पाबंदियां
- जगह की जानकारी से जुड़ी पाबंदियां, ताकि किसी खास जगह या नेटवर्क से ऐक्सेस न किया जा सके
- उपयोगकर्ता की भूमिका या टाइप के हिसाब से ऐक्सेस, जैसा कि आइडेंटिटी प्रोवाइडर ने बताया है
अपने KACLS कॉन्फ़िगरेशन की पुष्टि करना
यह देखने के लिए कि आपका KACLS चालू है और सही तरीके से कॉन्फ़िगर किया गया है या नहीं, status अनुरोध भेजें. इसके अलावा, KMS की उपलब्धता या लॉगिंग सिस्टम की परफ़ॉर्मेंस जैसी अंदरूनी जांच भी की जा सकती है.