Ihr Key Access Control List Service (KACLS) wurde ohne das und Beteiligung. Im Folgenden finden Sie Details zu allgemeinen Einstellungen und Best Practices für und konfigurieren Ihren Dienst.
Operative Einstellungen
Die API sollte nur über HTTPS mit TLS 1.2 oder höher und einer gültigen X.509-Zertifikat
Der API-Server sollte CORS verarbeiten können. um auf den autorisierten Google-Endpunkt zuzugreifen:
https://client-side-encryption.google.com.Wir empfehlen eine maximale Latenz von 200 ms für 99% der Anfragen.
Einstellungen für Autorisierungsanbieter
Verwenden Sie die Einstellungen unten, um die von Google ausgestellte Autorisierungstoken während clientseitige Verschlüsselung (client-side encryption, CSE):
| Kontext der Google Workspace-Anwendung | URL des JWKS-Endpunkts | Aussteller von Autorisierungstokens | Zielgruppe des Autorisierungstokens |
|---|---|---|---|
| Google Drive und Tools für das gemeinsame Erstellen von Inhalten, z. B. Google Docs und Google Tabellen | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| Die clientseitige Verschlüsselung | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| Kalender-CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| Clientseitige Verschlüsselung in Gmail | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| KACLS-Migration | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
Einstellungen des Identitätsanbieters
Die Einstellungen unten sind für jeden Identitätsanbieter (Identity Provider, IdP) erforderlich, der nicht zu Google gehört, Dienst funktioniert mit:
- Methode zum Validieren von Tokens. Tokens werden normalerweise durch die URL zu einer JSON Web Key Set (JWKS)-Datei, können aber auch die öffentlichen Schlüssel selbst sein.
- Aussteller- und Zielgruppenwerte:Das Feld
iss(Aussteller) undaud(Zielgruppe) Werte, die von jedem Identitätsanbieter verwendet werden.
Perimetereinstellungen
Das Perimeterkonzept in der clientseitigen Verschlüsselung (CSE) von Google Workspace wird verwendet um den Zugriff auf die Verschlüsselungsschlüssel über KACLS zu steuern. Die Perimeter sind optionale zusätzliche Prüfungen der Authentifizierung und Autorisierung, Tokens innerhalb des KACLS.
Perimeter können für Folgendes verwendet werden:
- Nur Nutzer in Domains auf der Zulassungsliste dürfen Schlüssel entschlüsseln.
- Nutzer auf die Sperrliste setzen, z. B. Google Workspace-Administratoren.
- Geben Sie erweiterte Einschränkungen an. Beispiel:
- Zeitbeschränkungen für Bereitschaftskräfte oder Personen im Urlaub
- Standortbeschränkungen, um den Zugriff von bestimmten Standorten oder Netzwerke
- Rollen- oder typbasierter Zugriff des Nutzers, wie von einem Identitätsanbieter geltend gemacht
KACLS-Konfiguration prüfen
Um zu prüfen, ob Ihr KACLS aktiv und richtig konfiguriert ist, senden Sie eine
status-Anfrage. Interne Selbstprüfungen,
wie der KMS-Zugriff
oder das Logging des Systemzustands.