تهيئة خدمة قائمة التحكم في الوصول إلى المفتاح (KACLS) دون الحاجة إلى المشاركة. وفي ما يلي تفاصيل حول الإعدادات الشائعة وأفضل الممارسات المتعلقة ضبط الخدمة.
إعدادات التشغيل
يجب ألا تتوفر واجهة برمجة التطبيقات إلا عبر بروتوكول HTTPS من خلال الإصدار 1.2 من بروتوكول أمان طبقة النقل (TLS) أو إصدار أحدث مع نطاق صالح شهادة X.509.
يجب أن يتعامل خادم واجهة برمجة التطبيقات مع CORS للوصول إلى نقطة النهاية المعتمدة من Google:
https://client-side-encryption.google.com.ننصح بأن يكون وقت الاستجابة 200 ملي ثانية كحدّ أقصى لنسبة% 99 من الطلبات.
إعدادات موفّر المصادقة
يُرجى استخدام الإعدادات أدناه للتحقق من الإصدار الذي أصدرته Google الرموز المميزة للتفويض أثناء التشفير من جهة العميل (CSE):
| سياق تطبيق Google Workspace | عنوان URL لنقطة نهاية JWKS | جهة إصدار الرمز المميّز للتفويض | جمهور الرمز المميّز للتفويض |
|---|---|---|---|
| Google Drive وأدوات إنشاء المحتوى التعاوني، مثل "مستندات Google" و"جداول بيانات Google" | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| ميزة "التشفير من جهة العميل" في Meet | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| التشفير من جهة العميل في "تقويم Google" | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| التشفير من جهة العميل في Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| نقل بيانات KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
إعدادات موفِّر الهوية
الإعدادات أدناه مطلوبة لكل موفِّر هوية غير تابع لـ Google مع:
- طريقة التحقّق من صحة الرموز المميّزة عادةً ما يتم التحقق من الرموز المميزة عن طريق عنوان URL الخاص JSON Web Key Set (JWKS)، وقد تكون أيضًا المفاتيح العامة نفسها.
- قيم جهة الإصدار والجمهور: حقل
iss(جهة الإصدار) وaud(الجمهور) القيم التي يستخدمها كل موفّر هوية.
إعدادات المحيط
يتم استخدام مفهوم المحيط في التشفير من جهة العميل في Google Workspace لتوفير التحكم في الوصول إلى مفاتيح التشفير عبر خدمة KACLS. المحيطات هي عمليات فحص إضافية اختيارية يتم إجراؤها على المصادقة والترخيص داخل KACLS.
يمكن استخدام المحيطات من أجل:
- السماح فقط للمستخدمين في النطاقات المُدرَجة في القائمة المسموح بها بفك تشفير المفاتيح.
- مستخدمو القائمة المحظورة، مثل مشرفي Google Workspace
- تقديم قيود متقدّمة. مثل:
- القيود المفروضة على الوقت للموظفين عند الطلب أو الأشخاص في إجازة
- قيود تحديد الموقع الجغرافي لمنع الوصول من مواقع أو مواقع محددة الشبكات
- الوصول المستند إلى دور المستخدم أو النوع، كما يؤكد موفّر الهوية
التحقّق من إعدادات خدمة KACLS
للتحقّق مما إذا كانت خدمة KACLS نشطة وتم ضبطها بشكل صحيح، أرسِل
طلب status. عمليات الفحص الذاتي الداخلية
مثل إمكانية الوصول إلى KMS أو سلامة نظام التسجيل.