Dịch vụ danh sách kiểm soát ra vào chìa khoá (KACLS) được định cấu hình mà không có sự tham gia của họ. Dưới đây là thông tin chi tiết về các chế độ cài đặt phổ biến và các phương pháp hay nhất cho định cấu hình dịch vụ của bạn.
Cài đặt hoạt động
Bạn chỉ được cung cấp API qua HTTPS với TLS 1.2 trở lên với giao thức Chứng chỉ X.509.
Máy chủ API sẽ xử lý CORS để truy cập thiết bị đầu cuối được uỷ quyền của Google:
https://client-side-encryption.google.com
.99% yêu cầu nên có độ trễ tối đa là 200 mili giây.
Cài đặt nhà cung cấp dịch vụ uỷ quyền
Hãy sử dụng các chế độ cài đặt dưới đây để xác thực giấy tờ tuỳ thân do Google cấp mã thông báo uỷ quyền trong thời gian mã hoá phía máy khách (CSE):
Ngữ cảnh ứng dụng Google Workspace | URL điểm cuối JWKS | Nhà phát hành mã thông báo uỷ quyền | Đối tượng mã thông báo uỷ quyền |
---|---|---|---|
Google Drive và các công cụ tạo nội dung cộng tác như Tài liệu và Trang tính | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
Tìm hiểu tính năng CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
CSE của Lịch | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
Công cụ CSE của Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
Di chuyển KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Cài đặt Nhà cung cấp danh tính
Các chế độ cài đặt bên dưới là bắt buộc đối với mỗi Nhà cung cấp danh tính (IdP) không thuộc Google dịch vụ hoạt động với:
- Phương thức xác thực mã thông báo. Mã thông báo thường được URL xác thực để JSON Web Key Set (JWKS) nhưng cũng có thể là chính khoá công khai.
- Giá trị của công ty phát hành và đối tượng: Trường
iss
(công ty phát hành) vàaud
(đối tượng) các giá trị được sử dụng bởi mỗi Nhà cung cấp danh tính.
Cài đặt chu vi
Khái niệm vành đai trong tính năng mã hoá phía máy khách (CSE) của Google Workspace để cung cấp khả năng kiểm soát quyền truy cập vào khoá mã hoá thông qua KACLS. Chu vi là các bước kiểm tra bổ sung không bắt buộc được thực hiện trong quá trình xác thực và uỷ quyền trong KACLS.
Mét có thể được dùng để:
- Chỉ cho phép người dùng thuộc các miền có trong danh sách cho phép giải mã khoá.
- Người dùng trong danh sách chặn, chẳng hạn như quản trị viên Google Workspace.
- Cung cấp các quy tắc hạn chế nâng cao. Ví dụ:
- Các hạn chế theo thời gian đối với nhân viên trực điện thoại hoặc những người đi nghỉ
- Hạn chế vị trí địa lý để ngăn việc truy cập từ các vị trí cụ thể hoặc mạng
- Quyền truy cập dựa trên vai trò hoặc loại của người dùng, như đã được Nhà cung cấp danh tính xác nhận
Xác minh cấu hình KACLS
Để kiểm tra xem KACLS có đang hoạt động và được định cấu hình đúng cách hay không, hãy gửi
Yêu cầu status
. Tự kiểm tra nội bộ,
như khả năng hỗ trợ tiếp cận KMS hoặc tình trạng hệ thống ghi nhật ký, cũng có thể được thực hiện.