O serviço de lista de controle de acesso a chaves (KACLS, na sigla em inglês) é configurado sem a participação do Google. Confira abaixo detalhes sobre configurações comuns e práticas recomendadas para configurar seu serviço.
Configurações operacionais
A API só pode estar disponível por HTTPS com TLS 1.2 ou mais recente com um certificado X.509 válido.
O servidor da API precisa processar o CORS para acessar o endpoint autorizado do Google:
https://client-side-encryption.google.com.Recomendamos uma latência máxima de 200 ms para 99% das solicitações.
Configurações do provedor de autorização
Use as configurações abaixo para validar os tokens de autorização emitidos pelo Google durante a criptografia do lado do cliente (CSE):
| Contexto do aplicativo do Google Workspace | URL do endpoint JWKS | Emissor de token de autorização | Público-alvo do token de autorização |
|---|---|---|---|
| Google Drive e ferramentas de criação de conteúdo colaborativo, como Documentos e Planilhas | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| CSE do Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| CSE da Agenda | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| CSE do Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| Migração de KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Configurações do provedor de identidade
As configurações abaixo são necessárias para cada provedor de identidade (IdP) que não seja do Google com que seu serviço funciona:
- Método para validar tokens. Os tokens geralmente são validados pelo URL para um conjunto de chaves da Web JSON (JWKS, na sigla em inglês), mas também podem ser as próprias chaves públicas.
- Valores de emissor e público-alvo:os valores de campo
iss(emissor) eaud(público-alvo) usados por cada provedor de identidade.
Configurações de perímetro
O conceito de perímetro na criptografia do lado do cliente (CSE) do Google Workspace é usado para fornecer controle de acesso às chaves de criptografia por meio das KACLS. Os perímetros são verificações adicionais opcionais realizadas nos tokens de autenticação e autorização no KACLS.
Os perímetros podem ser usados para:
- Só permitir que usuários de domínios autorizados descriptografem chaves.
- usuários na lista de bloqueio, como administradores do Google Workspace;
- Ofereça restrições avançadas. Exemplo:
- Restrições com base no tempo para funcionários de plantão ou pessoas em férias
- Restrições de geolocalização para impedir o acesso de locais ou redes específicas
- Acesso com base na função ou no tipo de usuário, conforme declarado por um provedor de identidade
Verificar a configuração da KACLS
Para verificar se a KACLS está ativa e configurada corretamente, envie uma
solicitação status. Verificações internas,
como a acessibilidade do KMS ou a integridade do sistema de registro, também podem ser realizadas.