Ваша служба списков контроля доступа (KACLS) настраивается без участия Google. Ниже приведены подробные сведения об общих настройках и рекомендациях по настройке вашей службы.
Рабочие настройки
Доступ к API должен осуществляться только по протоколу HTTPS с использованием TLS 1.2 или более поздней версии и действительного сертификата X.509.
API-сервер должен обрабатывать CORS для доступа к авторизованной конечной точке Google:
https://client-side-encryption.google.com.Мы рекомендуем максимальную задержку в 200 мс для 99% запросов.
Настройки поставщика авторизации
Используйте указанные ниже настройки для проверки авторизационных токенов, выданных Google, во время шифрования на стороне клиента (CSE):
| Контекст приложения Google Workspace | URL конечной точки JWKS | Эмитент авторизационного токена | Целевая аудитория токена авторизации |
|---|---|---|---|
| Google Drive и инструменты для совместного создания контента, такие как Docs и Sheets. | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com | gsuitecse-tokenissuer-drive@system.gserviceaccount.com | cse-authorization |
| Познакомьтесь с CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com | gsuitecse-tokenissuer-meet@system.gserviceaccount.com | cse-authorization |
| Календарь CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com | gsuitecse-tokenissuer-calendar@system.gserviceaccount.com | cse-authorization |
| Gmail CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com | gsuitecse-tokenissuer-gmail@system.gserviceaccount.com | cse-authorization |
| миграция KACLS | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com | apps-security-cse-kaclscommunication@system.gserviceaccount.com | cse-authorization |
Настройки поставщика идентификации
Указанные ниже настройки необходимы для каждого поставщика идентификационных данных (IdP), не являющегося Google, с которым работает ваша служба:
- Метод проверки токенов. Проверка токенов обычно осуществляется по URL-адресу файла JSON Web Key Set (JWKS), но также может осуществляться на основе самих открытых ключей.
- Значения эмитента и аудитории: значения полей
iss(эмитент) иaud(аудитория), используемые каждым поставщиком идентификационных данных.
Настройки периметра
Концепция периметра в Google Workspace Client-side encryption (CSE) используется для обеспечения контроля доступа к ключам шифрования с помощью KACLS. Периметры представляют собой необязательные дополнительные проверки, выполняемые над токенами аутентификации и авторизации в рамках KACLS.
Периметры можно использовать для:
- Разрешите расшифровку ключей только пользователям из разрешенных доменов.
- Внести пользователей в черный список, например, администраторов Google Workspace.
- Предоставьте расширенные ограничения. Например:
- Ограничения по времени для сотрудников, находящихся на дежурстве или в отпуске.
- Ограничения по геолокации для предотвращения доступа из определенных мест или сетей.
- Доступ на основе ролей или типов пользователей, подтвержденный поставщиком идентификационных данных.
Проверьте конфигурацию KACLS.
Чтобы проверить, активна ли ваша система KACLS и правильно ли она настроена, отправьте запрос на проверку status . Также можно выполнить внутренние самопроверки, например, проверку доступности KMS или проверку работоспособности системы регистрации событий.