O serviço de lista de controle de acesso a chaves (KACLS, na sigla em inglês) é configurado sem o envolvimento do Google. Veja abaixo detalhes sobre configurações comuns e práticas recomendadas para configurar seu serviço.
Configurações operacionais
A API só pode estar disponível por HTTPS com TLS 1.2 ou posterior com um certificado X.509 válido.
O servidor da API precisa processar o CORS para acessar o endpoint autorizado do Google:
https://client-side-encryption.google.com
.Recomendamos uma latência máxima de 200 ms para 99% das solicitações.
Configurações do provedor de autorização
Use as configurações abaixo para validar os tokens de autorização emitidos pelo Google durante a criptografia do lado do cliente (CSE, na sigla em inglês):
Contexto do aplicativo do Google Workspace | URL do endpoint do JWKS | Emissor do token de autorização | Público-alvo do token de autorização |
---|---|---|---|
Google Drive e ferramentas de criação de conteúdo colaborativo, como o Documentos e o Planilhas | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
Conheça a CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
CSE do Google Agenda | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
CSE do Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
Migração do KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Configurações do provedor de identidade
As configurações abaixo são obrigatórias para cada provedor de identidade (IdP) que não é do Google com que o serviço trabalha:
- Método para validar tokens. Normalmente, os tokens são validados pelo URL de um arquivo JSON Web Key Set (JWKS), mas também podem ser as próprias chaves públicas.
- Valores do emissor e do público-alvo:os valores dos campos
iss
(emissor) eaud
(público) usados por cada provedor de identidade.
Configurações do perímetro
O conceito de perímetro na criptografia do lado do cliente (CSE) Google Workspace é usado para fornecer controle de acesso às chaves de criptografia pelo KACLS. Os perímetros são verificações opcionais extras realizadas nos tokens de autenticação e autorização no KACLS.
Os perímetros podem ser usados para:
- Só permita que usuários em domínios na lista de permissões descriptografem chaves.
- Colocar usuários na lista de bloqueio, como administradores do Google Workspace.
- fornecer restrições avançadas. Exemplo:
- Restrições baseadas no tempo para funcionários de plantão ou pessoas de férias
- Restrições de geolocalização para impedir o acesso de redes ou locais específicos
- Acesso baseado em função ou tipo do usuário, conforme declarado por um provedor de identidade
Verificar a configuração do KACLS
Para verificar se o KACLS está ativo e configurado corretamente, envie uma
solicitação status
. Também é possível realizar autoverificações internas,
como acessibilidade do KMS ou integridade do sistema de registro.