आपकी कुंजी ऐक्सेस कंट्रोल लिस्ट सेवा (KACLS) को Google की मदद के बिना कॉन्फ़िगर किया जाता है. नीचे अपनी सेवा कॉन्फ़िगर करने के लिए सामान्य सेटिंग और सबसे सही तरीकों के बारे में विवरण दिए गए हैं.
ऑपरेशनल सेटिंग
एपीआई को सिर्फ़ एचटीटीपीएस पर, TLS 1.2 या इसके बाद के वर्शन के साथ मान्य X.509 सर्टिफ़िकेट के साथ उपलब्ध होना चाहिए.
Google के आधिकारिक एंड-पॉइंट को ऐक्सेस करने के लिए, एपीआई सर्वर को सीओआरएस को हैंडल करना चाहिए:
https://client-side-encryption.google.com
.हमारा सुझाव है कि 99% अनुरोधों के लिए, इंतज़ार का समय ज़्यादा से ज़्यादा 200 मि॰से॰ का होना चाहिए.
अनुमति देने वाली कंपनी की सेटिंग
क्लाइंट-साइड एन्क्रिप्शन (सीएसई) के दौरान, Google के दिए गए अनुमति टोकन की पुष्टि करने के लिए, नीचे दी गई सेटिंग का इस्तेमाल करें:
Google Workspace ऐप्लिकेशन के बारे में जानकारी | JWKS एंडपॉइंट यूआरएल | ऑथराइज़ेशन टोकन जारी करने वाला | ऑथराइज़ेशन टोकन ऑडियंस |
---|---|---|---|
Google Drive और Docs और Sheets जैसे मिलकर कॉन्टेंट बनाने वाले टूल | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
सीएसई (क्लाइंट-साइड एन्क्रिप्शन) से मिलें | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
कैलेंडर सीएसई | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
Gmail सीएसई | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
KACLS को माइग्रेट करना | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
पहचान देने वाली सेवा की सेटिंग
पहचान देने वाली सेवा देने वाली ऐसी हर कंपनी (आईडीपी) के लिए नीचे दी गई सेटिंग ज़रूरी है जिसके साथ आपकी सेवा काम करती है:
- टोकन की पुष्टि करने का तरीका. आम तौर पर, टोकन की पुष्टि JSON वेब कुंजी सेट (JWKS) फ़ाइल के यूआरएल से की जाती है. हालांकि, ये सार्वजनिक पासकोड भी हो सकते हैं.
- जारी करने वाले और ऑडियंस की वैल्यू: हर आइडेंटिटी प्रोवाइडर की ओर से इस्तेमाल किए गए
iss
(जारी करने वाले) औरaud
(ऑडियंस) फ़ील्ड की वैल्यू.
पेरीमीटर की सेटिंग
Google Workspace की क्लाइंट-साइड एन्क्रिप्शन (सीएसई) सुविधा में पेरीमीटर के सिद्धांत का इस्तेमाल, KACLS के ज़रिए एन्क्रिप्शन कुंजियों का ऐक्सेस कंट्रोल देने के लिए किया गया. पेरीमीटर वैकल्पिक अतिरिक्त जांच हैं. ये KACLS में पुष्टि करने और अनुमति देने वाले टोकन पर की जाती हैं.
पेरीमीटर का इस्तेमाल इन कामों के लिए किया जा सकता है:
- सिर्फ़ अनुमति वाली सूची में शामिल डोमेन के उपयोगकर्ताओं को कुंजियां डिक्रिप्ट करने की अनुमति दें.
- ब्लॉकलिस्ट वाले उपयोगकर्ता, जैसे कि Google Workspace एडमिन.
- बेहतर पाबंदियां दें. उदाहरण के लिए:
- ऑन-कॉल कर्मचारियों या छुट्टियों पर मौजूद लोगों के लिए समय-आधारित प्रतिबंध
- कुछ खास जगहों या नेटवर्क से ऐक्सेस रोकने के लिए, जियोलोकेशन से जुड़ी पाबंदियां
- उपयोगकर्ता की भूमिका या टाइप के हिसाब से ऐक्सेस, जैसा कि पहचान देने वाले ने दावा किया है
अपने KACLS कॉन्फ़िगरेशन की पुष्टि करें
आपका केएसीएलएस चालू है या नहीं और उसे सही तरीके से कॉन्फ़िगर किया गया है या नहीं, यह देखने के लिए status
अनुरोध भेजें. खुद की अंदरूनी जांच भी की जा सकती है. जैसे, केएमएस की सुलभता या लॉगिंग सिस्टम की परफ़ॉर्मेंस.